Patchwork 공격 그룹이 정부 관련 기관이 아닌 곳까지 노리고 있습니다. 시만텍의 연구 조사에 따르면 이 조직은 항공, 방송, 금융 등 다양한 업종에 백도어 트로이 목마를 유포해 왔습니다.
시만텍 보안 연구소는 Patchwork를 본격적으로 감시해 왔으며, 일명 Dropping Elephant라고 불리는 이 조직은 중국과 관련된 컨텐트를 미끼로 사용하여 표적의 네트워크를 감염시킵니다. 보안 기업인 Cymmetria와 Kaspersky가 최근 이 캠페인에 대한 리포트를 발표했는데, 대부분의 내용이 시만텍이 관찰한 바와 일치합니다.
표적
다른 연구진들도 확인했듯이, Patchwork는 원래 정부 및 관련 기관을 주요 표적으로 공략했습니다. 하지만 이 조직은 점차 더 다양한 업종으로 표적을 확대했습니다.
주요 관심 대상은 여전히 정부/공공 기관이지만 최근 아래와 같은 업종에 대한 공격이 늘어난 것으로 보입니다.
- 항공
- 방송
- 에너지
- 금융
- 비정부 단체(NGO)
- 제약
- 공공 기관
- 출판
- 소프트웨어
시만텍 텔레메트리(telemetry)에 따르면 표적이 된 기업은 다양한 지역에 분포되어 있습니다. 공격의 절반 가량이 미국에 집중되었지만 중국, 일본, 동남 아시아, 영국도 주 공격 대상 지역입니다.
공격 경로
시만텍은 2015년 11월에 처음으로 이 캠페인과 관련된 공격 시도를 발견했지만, 시만텍 텔레메트리 데이터에 따르면 이 캠페인이 2015년 초 또는 그 이전부터 있었을 가능성도 있습니다.
공격자는 주로 합법적인 메일링 목록 제공자를 이용하여 일정 수의 표적에게 뉴스레터를 보냅니다. 이 뉴스레터는 링크를 통해 공격자의 웹 사이트로 연결되는데, 이 사이트에서는 주로 중국과 관련된 주제의 컨텐트를 통해 표적의 관심을 유도합니다. 이 웹 사이트는 메일링 목록 제공자와 동일한 도메인에서 호스팅됩니다. 각 웹 사이트는 표적에 맞게 맞춤 구성되었으며 표적이 된 업종과 관련된 전문적인 주제를 다루고 있습니다.
그림 1. 중국 공공 의료 기관과 관련된 맞춤형 웹 사이트
그림 2. 중국군과 관련된 맞춤형 웹 사이트
이 악성 사이트는 다른 도메인에서 호스팅되는 파일과 연결되는데, 이 도메인은 악의적인 목적으로만 사용되는 듯합니다. 이 도메인은 중국을 잘 아는 사람이라면 합법적인 출처로 여길 만한 이름으로 등록되어 있습니다. 공격에 주로 사용되는 몇몇 도메인은 두 개의 서버에서 호스팅되는데, IP 주소는 각각 212.83.146.3과 37.58.60.195입니다.
이 웹 사이트는 2가지 악성 파일 유형을 호스팅하며, PowerPoint 파일(.pps)과 Word .doc 확장자를 사용하는 리치 텍스트 파일입니다.
PowerPoint 파일은 Microsoft Windows OLE Package Manager 원격 코드 실행 취약점(CVE-2014-4114)을 노리는 것으로 보이는데, 이 취약점은 2014년 10월에 미국 및 유럽에서 발생한 Sandworm 공격에서 이용된 바 있습니다. 리치 텍스트 파일은 대개 Microsoft Office 메모리 손상 취약점(CVE-2015-1641)에 대한 익스플로잇을 시도하며, 이 취약점의 패치는 2015년 4월에 제공되었습니다. 또한 시만텍은 더 오래된 문제인 Microsoft Windows 일반 제어 ActiveX 컨트롤 원격 코드 실행 취약점(CVE-2012-0158)에 대한 익스플로잇 공격도 확인했습니다.
시만텍에서 확인 가능한 정보에 따르면, 이 문서에는 합법적인 웹 사이트가 출처인 공개 컨텐트의 복사본이 들어 있습니다. 주제는 군/국방, 병원, 해군 분쟁, 악성 코드 제거까지 다양합니다.
악성 PowerPoint 파일
이 .pps 파일은 Microsoft Windows OLE Package Manager 원격 코드 실행 취약점(CVE-2014-4114)을 노릴 가능성이 큽니다. 그러나 이 캠페인의 익스플로잇은 과거에 발견되었던 유사한 익스플로잇을 약간 변형한 것입니다. 이 익스플로잇에서는 자동으로 확실하게 악성 코드 감염을 차단하기보다 사용자에게 경고만 표시하도록 설계된 패치의 특성을 이용합니다.
PowerPoint 2016에서 파일을 열면 아무 일도 발생하지 않습니다. 그러나 더 오래된 버전의 PowerPoint에서 이 파일을 열 경우 운영 체제 버전, 적용된 패치 등과 같은 환경 속성에 따라 보안 경고가 나타나 사용자에게 driver.inf를 열지 여부를 묻습니다.
그림 3. 2016 이전 버전의 PowerPoint에서 이 .pps 파일을 열 경우 나타나는 프롬프트
사용자가 파일 열기를 선택하면 시스템이 감염됩니다. 사용자가 파일을 열지 않음을 선택하면 시스템이 감염되지 않습니다. 이 .pps 파일이 열리면 Backdoor.Enfourks가 임시 디렉터리에 저장되고 실행되지는 않습니다. 이러한 상태에서는 표적이 감염될 위험이 있습니다.
시만텍은 연구소에서 테스트한 모든 버전의 PowerPoint에 이러한 문제점이 있음을 확인했습니다. 대개 “sysvolinfo.exe”라는 이름을 가진 파일이 저장되었다면 직접 제거해야 합니다.
악성 Word .doc 파일
이 보안 위협 공격자는 .pps 파일 외에도 리치 텍스트 파일을 사용하여 악성 코드를 유포합니다. 다른 연구진에서는 이 파일이 CVE-2012-0158을 이용한다고 보고했지만, 시만텍은 CVE-2015-1641도 Backdoor.Steladok 유포에 이용되는 것을 확인했습니다.
주 페이로드
.doc 파일과 .pps 파일 모두 주로 2가지 악성 코드군을 유포합니다. 대개 PowerPoint 슬라이드 파일은 Backdoor.Enfourks를 유포하는데, 이 AutoIT 실행 파일은 의미 없는 데이터가 가득하며 주 표적은 32비트 시스템입니다. .doc 파일은 Backdoor.Steladok를 유포합니다.
이 두 백도어 트로이 목마는 일단 활성화되면 공격자의 명령을 기다리면서 파일을 검색하여 지정된 서버에 업로드할 수 있습니다. 두 보안 위협은 루틴에 중국 소프트웨어 벤더인 Baidu를 사용하는데, 그 이유는 알려지지 않았습니다. 이 트로이 목마는 Baidu 서버에 대한 ping을 실행하여 인터넷 연결을 확인하고 이 벤더의 이름으로 레지스트리 항목을 생성하여 Windows가 시작할 때마다 실행되게 합니다. 두 파일 형식은 서로 다른 두 페이로드를 유포하는 데 사용되므로 여러 사람 또는 그룹이 악성 코드 개발에 참여하고 있을 가능성이 있습니다.
완화 조치
사용자는 아래와 같은 조언에 따라 Patchwork 공격을 방지해야 합니다.
- 의심스러운 이메일을 받았다면, 특히 링크나 첨부 파일이 포함된 경우 삭제하십시오. 사이버 스파이 공격에서는 스피어 피싱 이메일로 피해자를 속여 악성 파일을 열어보도록 유도할 때가 많습니다.
- 운영 체제 및 기타 소프트웨어를 지속적으로 업데이트하십시오. 소프트웨어 업데이트에는 공격자에게 악용되기 쉬운 새로운 보안 취약점에 대한 패치가 포함된 경우가 많습니다.
- 항상 보안 소프트웨어를 최신 버전으로 유지하여 이 악성 코드의 새로운 변종을 차단하십시오.
보호
시만텍 및 노턴 제품은 아래와 같이 Patchwork 악성 코드를 탐지합니다.
안티바이러스:
침입 차단 시스템:
감염 지표(IoC)
다음은 Patchwork가 시스템을 감염시켰음을 나타내는 지표가 될 만한 의심스러운 도메인, IP 주소, 파일입니다.
의심스러운 도메인 및 IP 주소:
- chinastrats.com
- epg-cn.com
- extremebolt.com
- info81.com
- lujunxinxi.com
- militaryworkerscn.com
- milresearchcn.com
- modgovcn.com
- newsnstat.com
- nudtcn.com
- socialfreakzz.com
- 81-cn.net
- cnmilit.com
- nduformation.com
- expatchina.info
- info81.com
- climaxcn.com
- expatchina.info
- miltechcn.com
- miltechweb.com
- securematrixx.com
- 46.166.163.242
- 212.129.13.110
탐지 이름
|
MD5
|
파일 이름
|
Trojan.PPDropper
|
0bbff4654d0c4551c58376e6a99dfda0
|
|
Trojan.PPDropper
|
1de10c5bc704d3eaf4f0cfa5ddd63f2d
|
MilitaryReforms2.pps
|
Trojan.PPDropper
|
2ba26a9cc1af4479e99dcc6a0e7d5d67
|
2016_China_Military_PowerReport.pps
|
Trojan.PPDropper
|
375f240df2718fc3e0137e109eef57ee
|
PLA_UAV_DEPLOYMENT.pps
|
Trojan.PPDropper
|
38e71afcdd6236ac3ad24bda393a81c6
|
militarizationofsouthchinasea_1.pps
|
Trojan.PPDropper
|
3e9d1526addf2ca6b09e2fdb5fd4978f
|
How_to_easily_clean_an_infected_computer.pps
|
Trojan.PPDropper
|
475c29ed9373e2c04b7c3df6766761eb
|
PLA_Forthcoming_Revolution_in_Doctrinal_Affairs.pps
|
Trojan.PPDropper
|
4dbb8ad1776af25a5832e92b12d4bfff
|
maritime_dispute.pps
|
Trojan.PPDropper
|
4dbb8ad1776af25a5832e92b12d4bfff
|
Clingendael_Report_South_China_Sea.pps
|
Trojan.PPDropper
|
543d402a56406c93b68622a7e392728d
|
2016_China_Military_PowerReport.pps
|
Trojan.PPDropper
|
551e244aa85b92fe470ed2eac9d8808a
|
Assessing_PLA_Organisational_Reforms.pps
|
Trojan.PPDropper
|
6877e60f141793287169125a08e36941
|
Clingendael_Report_South_China_Sea.pps
|
Trojan.PPDropper
|
6d8534597ae05d2151d848d2e6427f9e
|
cn-lshc-hospital-operations-excellence.pps
|
Trojan.PPDropper
|
74fea3e542add0f301756581d1f16126
|
Clingendael_Report_South_China_Sea_20160517Downloaded.pps
|
Trojan.PPDropper
|
812a856288a03787d85d2cb9c1e1b3ba
|
|
Trojan.PPDropper
|
8f7b1f320823893e159f6ebfb8ce3e78
|
|
Trojan.PPDropper
|
b163e3906b3521a407910aeefd055f03
|
china_security_report_2016.pps
|
Trojan.PPDropper
|
d456bbf44d73b1f0f2d1119f16993e93
|
|
Trojan.PPDropper
|
e7b4511cba3bba6983c43c9f9014a49d
|
Chinastrats.com netflix2.pps
|
Trojan.PPDropper
|
ebfa776a91de20674a4ae55294d85087
|
Chinese_Influence_Faces_2.pps
|
Trojan.PPDropper
|
eefcef704b1a7bea6e92dc8711cfd35e
|
Top_Five_AF.pps
|
표 1. 이 캠페인과 관련된 악성 PowerPoint 슬라이드
탐지 이름
|
MD5
|
파일 이름
|
Trojan.Mdropper
|
2099fcd4a81817171649cb38dac0fb2a
|
|
Trojan.Mdropper
|
3d852dea971ced1481169d8f66542dc5
|
China_Vietnam_Military_Clash.doc
|
Trojan.Mdropper
|
4ff89d5341ac36eb9bed79e7afe04cb3
|
Cyber_Crime_bill.doc
|
Trojan.Mdropper
|
7012f07e82092ab2daede774b9000d64
|
china_report_EN_web_2016_A01.doc
|
Trojan.Mdropper
|
735f0fbe44b70e184665aed8d1b2c117
|
Cyber_Crime_bill.doc
|
Trojan.Mdropper
|
7796ae46da0049057abd5cfb9798e494
|
|
Trojan.Mdropper
|
e5685462d8a2825e124193de9fa269d9
|
PLA_Forthcoming_Revolution_in_Doctrinal_Affairs2.doc
|
Trojan.Mdropper
|
f5c81526acbd830da2f533ae93deb1e1
|
Job_offers.doc
|
표 2. 이 캠페인과 관련된 악성 리치 텍스트 파일
탐지 이름
|
MD5
|
Backdoor.Steladok
|
0f09e24a8d57fb8b1a8cc51c07ebbe3f
|
Backodor.Enfourks
|
233a71ea802af564dd1ab38e62236633
|
Backdoor.Steladok
|
2c0efa57eeffed228eb09ee97df1445a
|
Backodor.Enfourks
|
3ac28869c83d20f9b18ebbd9ea3a9155
|
Trojan.Gen.2
|
465de3db14158005ede000f7c0f16efe
|
Trojan.Gen.2
|
4fca01f852410ea1413a876df339a36d
|
Backodor.Enfourks
|
61e0f4ecb3d7c56ea06b8f609fd2bf13
|
Backodor.Enfourks
|
6b335a77203b566d92c726b939b8d8c9
|
Backodor.Enfourks
|
a4fb5a6765cb8a30a8393d608c39d9f7
|
Backodor.Enfourks
|
b594a4d3f7183c3af155375f81ad6c3d
|
Backodor.Enfourks
|
b7433c57a7111457506f85bdf6592d18
|
Backodor.Enfourks
|
b7433c57a7111457506f85bdf6592d18
|
Backodor.Enfourks
|
c575f9b40cf6e6141f0ee40c8a544fb8
|
Backodor.Enfourks
|
d8102a24ca00ef3db7d942912765441e
|
Backdoor.Steladok
|
f47484e6705e52a115a3684832296b39
|
Backodor.Enfourks
|
f7ce9894c1c99ce64455155377446d9c
|
Infostealer
|
ffab6174860af9a7c3b37a7f1fb8f381
|
표 3. 이 캠페인과 관련된 페이로드