min`s story

FIN7 해커조직, 최근 금융기구 타깃으로 APT 공격 포착

http://www.boannews.com/media/view.asp?idx=57870&skind=O

8일 이스트시큐리티에 따르면 주로 세계 금융기구를 타깃으로 공격하던 FIN7 조직이 최근 공격목표를 소매 기업으로까지 확장했다고 밝혔다. 

해당 조직은 주로 PE 파일이 아닌 파일을 이용해 공격을 진행한다. FIN7 조직 안에 APT 조직의 공격은 주로 자바(JS)스크립트와 파워셸(powershell) 스크립트 이용이다. 이러한 방법은 일반적인 보안제품들을 우회할 수 있다. 

분석된 해당 APT 조직 개요를 살펴보면 △공격목표는 금융기구, 소매 기업 △공격목적은 기밀탈취, 금전적 이득 △공격방식은 피싱 메일 △사용하는 취약점은 없음 △통신방법은 https △영향받는 os는 윈도우다.

이들은 피싱 메일을 전송해 사용자로 하여금 매크로가 포함된 파일을 실행하도록 한다. 매크로가 실행된 후에는, 파일 중의 텍스트를 디코딩하는데, 디코딩 결과는 js스크립트 악성코드이며,

이 악성코드는 wscript 페이로드를 통해 실행된다. 또한 스케줄러를 통해 지속성을 높이며, 정해진 시점이 되면 C&C통신을 통해 명령을 받는다. 

특히 전체 공격과정 중에서 PE파일을 사용하지는 않아 어느 정도 백신을 우회할 수 있는 것으로 분석됐다. 악성코드는 nishang, empire 등 툴과 결합돼 로컬의 자격증명 탈취 등의 악성행위를 한다. 

공격자는 피싱 메일을 통해 공격을 시작한다. 이메일에 첨부된 파일은 악성 매크로가 포함돼 있다. FIN7이 초기에 사용했던 매크로 코드는 자동으로 스케줄러 등록기능이 포함돼 있다. 하지만 최근 FIN7이 사용한 악성 매크로에서는 스케쥴러 등록코드가 삭제됐으며, 하단에 js스크립트 중에서 스케쥴러 등록을 하도록 바꿨다. 

악성코드에는 악성코드의 버전 정보인 1.0.6과 ‘Hello fromQwazarius. One step ahead. Made in North Korea’ 문자열이 함께 포함돼 있다. 

이에 대해 이스트시큐리티는 해당 문자열만으로 공격자가 북한이라고 간주할 수 없으며, 공격자가 분석가를 속이려 일부러 넣어놓은 문자열 일 수도 있다고 풀이했다. 

악성코드가 최초에 실행되면, 자신을 디렉토리 하위에 복사해 놓는 동시에 스케줄러에 등록해 매 분당 1번씩 동작한다. 그리고 C&C에 접속해 명령을 받아온다. 이 task는 adobe를 위장하고 있다. 

이 밖에 Bateleur 악성코드는 RAT 악성코드의 기능을 포함하고 있으며, 사용자 정보 탈취, 원격에서 shell 명령 실행, 서버 업데이트, 화면캡쳐 등의 기능을 포함하고 있다.