SuperBear 트로이목마

2023년 8월 28일 한국의 시민 단체를 표적으로 한 새로운 피싱 공격이 발견되었습니다. 이 공격은 이전에 볼 수 없었던 원격 엑세스 트로이 목마인 RAT 공격으로, 초기 공격의 시작은 시민 단체 직원을 사칭한 이메일 주소로부터 악성 LNK파일을 받으면서 시작이 됩니다. LNK 파일이 실행되면 파워셸 명령을 실행하여 비주얼 베이직 스크립트를 실행하고, 이 스크립트는 손상된 워드프레스 웹사이트로부터 추가 페이로드를 가져와서 궁극적으로 SuperBear RAT를 배포합니다. 여기에는 Autoit3.exe바이너리 solmir.pdf와 AutoIt스크립트 solmir_1.pdb 가 포함이 됩니다. SuperBear RAT는 프로세스 할로잉 기법을 통한 프로세스 주입을 비롯해 다양한 악성 행동을 보입니다.

이 악성 코드는 Explorer.exe의 일시 중단된 인스턴스에 악성 코드를 삽입하는 프로세스 할로잉 기법을 사용하여 프로세스 익젝션을 수행합니다. 활성화되면 SuperBear는 원격 서버와 통신을 설정하여 데이터 유출, 셸 명령 실행, 동적 링크 라이브러리 다운로드를 가능하게 하고, C2 서버의 기본 동작이 클라이언트에 시스템 데이터를 유출하고 처리하도록 지시하는 것으로 보입니다.

악성 코드의 이름이 SuperBear로 붙여진 이유는 악성 동적 링크 라이브러리가 임의의 파일 이름을 생성하려고 시도하고 실패할 경우 SuperBear로 이름이 설정된다는 사실에서 유래되었습니다. 이 공격의 배후가 확실하게 밝혀지지는 않았지만, 초기 공격 벡터와 파워셸 명령어의 유사성을 근거로 북한 국가 공격자들 중 APT43 또는 에메랄드 슬릿이라고 알려진 킴수키 그룹이 배후로 지목되고 있습니다.

숨겨진 창에서 실행되는 PowerShell명령 ( 출처 : interlab )  

사용자 프로필 디렉터리에 저장되는 VBS 스크립트( 출처 : interlab ) 

암호화를 해제한 결과( 출처 : interlab )

SuperBear 트로이목마의 공격방법

LNK 파일이 실행되고 명령 줄 인수가 호출되어 정상적인 문서와 함께 숨겨진 PowerShell 창이 생성됩니다. 행위자는 일반적인 난독처리 기술을 사용하여 PowerShell을 로드하고 명령을 실행합니다. 그런 다음 PowerShell 명령이 숨겨진 창에서 실행됩니다.

HEX 값을 디코딩된 값인 ASCII로 변환한 다음 사용자 프로필 디렉터리에 스크립 트가 포함된 VBS를 저장합니다. 이 VBS 스크립트는 파일 기반 탐지 서명을 피하기 위해 각 명령에 su를 추가했습니다. 이 명령은 도메인에서 두개의 페이로드를 가져오는데, 암호화가 해제된 결과에서 AutoIT3 실행파일이 Autoit3로 이름이 변경되었고, solmir_1.pdb와 MTdYFp.au3등 이름이 변경된 것으로 보여져 페이로드를 전달하는 웹사이트가 정상적인 웹사이트가 아닌 손상된 웹사이트라는 것을 알 수 있습니다. 실행 파일과 컴파일된 스크립트가 다운로드 되면 컴파일된 스크립트의 매개변수로 AutoIT3가 실행되고, 프로세스 삽입 작업을 수행합니다. 

데이터 반출 과정( 출처 : 0x0v1 ) 

SuperBear 트로이목마의 공격방법

AutoIT 스크립트는 기본 Windows API 호출을 호출하여 일반적인 프로세스 할 로잉 작업을 수행합니다. 먼저 CreateProcess를 호출하여 프로세스 일시중단 플래그가 포함된 Explorer.exe 인스턴스를 생성합니다. SuperBear는 IP 주소가 89.117.139.230이고 도메인이 hironchk.com인 C2 서버에 대한 연결을 설정합니다. RAT는 3가지 기본 공격인 프로세스 및 시스템 데이터 유출, 셀 명령 다운로드 및 실행, DLL 다운로드 및 실행 작업 중 하나를 수행합니다. C2 서버의 기본 작업은 클라이언트에 시스템 데이터를 반출하고 처리하도록 지시하는 것으로, 데이터를 반출할 때 RAT는 CreateToolhelp32Snapshot을 사용하여 실행 중인 프로세스의 스냅샷을 만들어 C:\Users\Public\Documents\proc.db에 있는 파일에 저장합니다. 그런 다음 SystemInfo 명령을 실행하여 C:\Users\Public \Documents\sys.db에 있는 파일에 저장합니다. 이러한 각 텍스트 파일은 URI \upload\upload.php에 있는 C2에 업로드 됩니다.악성 DLL은 임의의 파일 이름을 만들려고 시도하고 만들 수 없는 경우 SuperBear로 이름이 변경됩니다. 

결론

SuperBear는 시민단체에 대한 고도로 표적화된 공격에 사용되는 것으로 확인이 되었습니다. 피해자들은 기존 조직의 구성원을 사칭하는 이메일을 받았고, 첨부파일을 열면 해당 조직과 관련된 피싱 문서가 나왔습니다. 다른 공격에서도 계속 표적 스팸 메일을 사용할지 아니면 다른 배포 방법을 사용할지는 알 수 없으나, 소셜 엔지니어링을 통한 피싱은 멀웨어 확산에 널리 사용되기 때문에 주의를 해야합니다. 

SuperBear의 공격을 방지하는 방법

사용자는 인터넷을 통해 받은 의심스러운 애플리케이션 및 첨부 파일을 다운로드하지 말고 소셜 엔지니어링 및 피싱 공격에 주의해야 합 니다. 사용자는 출처가 분명하지 않은 파일을 다운로드 수락 또는 실행해서는 안되며, 알 수 없거나 신뢰할 수 없는 출처에서 제공한 웹사이트를 방문하거나 링크를 따라가지 않아야 합니다. 모든 시스템, 모바일 디바이스 및 서버에서 AV 시그니처, 운영 체제 및 타사 애플리케이션을 최신 상태로 유지합니다. 사용자는 정기적으로 백업을 수행하고 해당 백업을 오프라인 또는 별도의 네트워크에 보관해야 합니다.