'오퍼레이션 스타크루저(Operation Starcruiser)' 그룹의 변종 악성코드 발견 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 국가 기반 APT 그룹 '오퍼레이션 스타크루저(Operation Starcruiser)'의 변종 악성코드가 발견되어 주의를 당부드립니다.

▶ 국가기반 APT 그룹 '오퍼레이션 스타크루저(Operation Starcruiser)' 수행 … 사이버 첩보활동 지속

▶ 2010년 해외 대상 APT 공격자, 오퍼레이션 베이비 코인(Operation Baby Coin)으로 한국 귀환

▶ '오퍼레이션 배틀크루저' 다양한 취약점으로 국내외 APT 공격 지속

▶ '오퍼레이션 아라비안 나이트' 공격그룹 글로벌 활동 확대

▶ '오퍼레이션 김수키(Kimsuky)'의 은밀한 활동, 한국 맞춤형 APT 공격은 현재 진행형

▶ 한국 메신저 등을 통해 유포된 Flash Player Zero-Day (CVE-2018-4878) 공격 주의

▶ 문서파일 취약점을 활용한 파일리스(Fileless) 악성코드의 스텔스 위협

▶ 3.20 공격 조직의 최신 오퍼레이션 '코인 매니저 (Coin Manager)'

▶ 문서파일 취약점 공격과 한국 가상화폐 거래자 대상 공격간의 연관성 분석

▶ [주의] 가상화폐 거래 관계자를 대상으로 한 스피어피싱 지속

▶ 비트코인 관련 내용으로 진행 중인 스피어피싱 공격 주의

이번 악성코드에서 사용하는 C&C는 다음과 같습니다.

※ 악성코드에서 사용한 C&C 리스트

www.aloe-china.com/include/bottom.php(104.222.238.216/US)

www.92myhw.com/include/inc/inc_common.php(104.222.231.91/US)

www.aisou123.com/include/dialog/common.php(104.224.219.107/US)

[표 1] 악성코드에서 사용한 C&C 리스트

C&C에 접속 후 데이터를 디코딩합니다. 과거 스타크루저 그룹 악성코드의 [그림 9]와 같이 '*dJU!*JE&!M@UNQ@' 문자열이 동일하게 사용되었습니다.

[그림 1] C&C 접속 후 데이터를 디코딩하는 코드

다음은 과거 '오퍼레이션 스타크루저'에서 사용된 악성코드와 이번 악성코드의 C&C 통신 화면입니다.

[그림 2] 과거 '오퍼레이션 스타크루저' 악성코드 C&C 접속 화면

[그림 3] 이번 변종 악성코드 C&C 접속 화면

C&C에 정상적으로 접속했을 경우 봇 기능을 수행합니다. 봇 명령어에 따른 설명은 다음과 같습니다

명령어	설명
0x1827	OS 버전, ComputerName 등 사용자 정보 전송
0x1828	로컬 드라이브 정보 전송
0x1829 / 0x182A / 0x182B	서버와 통신 기능 수행
0x182C	파일 다운로드
0x182D	파일 업로드
0x182E	프로그램 실행
0x182F	cmd 실행 및 결과 업로드
0x1830	파일 목록 조회
0x1831	프로세스 목록 조회
0x1832	프로세스 종료
0x1834	명령어 받는 주기
0x1835	C&C 연결 종료
0x183C	웹 서버로부터 데이터 다운 및 C&C로 업로드

[표 2] 봇 명령어 및 설명

이처럼 국가 차원의 지원을 받는 것으로 추정되는 공격자(state-sponsored actor)의 활동이 한국뿐만 아니라 글로벌적으로 활동하고 있습니다.

이스트시큐리티 대응센터(ESRC)에서는 이와 관련된 인텔리전스 연구와 추적을 지속적으로 유지하고, 유사한 보안위협으로 인한 피해가 최소화될 수 있도록 관련 모니터링을 강화하고 있습니다.

현재 알약에서는 관련 샘플을 'Trojan.RAT.Agent.128512L'로 진단하고 있습니다