국내 모 대학에서 감염된 것으로 확인…다운로더형 악성코드

[보안뉴스 김영명 기자] 보안업체 크라우드스트라이크(CrowdStrike)는 3월 말, 북한 기반의 공격그룹이 3CX DesktopApp을 통해 공급망 공격을 통해 정보 탈취 악성코드를 설치했다고 밝혔다. 이들 공격그룹의 공급망 공격 발생 사실은 이전에도 꾸준히 확인됐다.

[보안뉴스 / 4.11.] 3CX DesktopApp 공급망 공격, 국내서도 감염 사실 포착

▲자사 ASD 로그에서 확인된 설치 로그[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀에서도 3CX DesktopApp을 통한 공급망 공격 발생 사실을 알리고 조치 가이드를 소개했다. 해당 공격그룹이 공격에 사용한 악성코드들의 분석 정보와 안랩 AhnLab Smart Defense(ASD) 로그를 통해 확인된 국내 감염 내역을 살펴봤다.

공급망 공격이 알려지기 이전에 포착된 ASD 로그를 보면 지난달 9일에는 18.12.407 버전의 3CX Electron Windows App 설치 로그가, 15일에는 18.12.416 버전의 설치 로그가 확인되며 대상이 된 곳은 국내 모 대학으로 확인됐다.

공격자는 윈도(Windows) 사용자와 맥(MAC) 사용자들을 공격 대상으로 했으며, 이를 위해 윈도 환경과 MAC 환경에서 동작하는 3CX DesktopApp 설치 파일에 악성코드를 삽입했다. 사용자가 악성코드가 삽입된 설치 파일을 설치할 경우 내부에 인코딩돼 저장된 악성코드 메모리 상에서 동작하며 추가 악성코드를 설치한다.

윈도 환경에서는 MSI 인스톨러가 설치 파일이며, 내부에 포함된 ‘ffmpeg.dll’, ‘d3dcompiler_47.dll’이 실질적인 악성코드다. 설치가 끝난 이후 실행되는 ‘3CXDesktopApp.exe’는 동일 경로에 존재하는 ‘ffmpeg.dll’ 파일을 로드한다. ‘ffmpeg.dll’는 정상 파일로 위장했지만 실제로는 로더 악성코드로서, ‘d3dcompiler_47.dll’ 파일을 읽어와 복호화해 메모리 상에서 실행하는 기능을 담당한다. ‘d3dcompiler_47.dll’ 파일도 정상 파일이지만 뒷부분에 인코딩된 데이터가 포함됐다.

[보안뉴스 / 4.11.] 3CX DesktopApp 공급망 공격, 국내서도 감염 사실 포착

▲3CX DesktopApp 공급망 공격의 흐름도[자료=안랩 ASEC 분석팀]

‘ffmpeg.dll’는 ‘d3dcompiler_47.dll’에서 ‘FE ED FA CE FE ED FA CE’ 시그니처를 찾는데, 여기에는 인코딩된 데이터가 포함됐다. 인코딩된 데이터를 복호화하면 쉘코드가 존재하며 메모리 상에서 다운로더 기능을 담당하는 악성코드를 실행시킨다.

다운로더 악성코드는 깃허브 주소에서 ico 파일을 다운로드한다. 주소는 icon1.ico부터 icon15.ico까지가 랜덤하게 선택돼 사용된다. 분석 시점 기준으로 다운로드는 불가능했지만, 공격에 사용된 것으로 알려진 ico 파일들은 다음과 같다.

[보안뉴스 / 4.11.] 3CX DesktopApp 공급망 공격, 국내서도 감염 사실 포착

▲공격에 사용된 것으로 알려진 ico 파일들[자료=안랩 ASEC 분석팀]

ico 파일의 뒷부분에는 실제 명령제어(C&C) 서버의 주소들이 인코딩돼 존재하며, 이를 복호화할 경우 실제 C&C 서버 주소가 확인된다. 다운로더는 ico 파일의 뒷부분에서 ‘$’ 시그니처를 검색한 후 인코딩된 문자열을 찾아 복호화한다.

정상 URL이 포함된 ‘icon0.ico’ 파일을 제외하고, ‘icon10.ico’와 ‘icon11.ico’가 동일한 것을 감안하면 16개의 ico 파일들 중에서 C&C 서버의 주소는 모두 14개다. 다운로더는 복호화한 주소에 접속해 추가적인 악성코드를 다운로드해 실행할 수 있으며, 인포스틸러를 설치한 것으로 분석됐다.

[보안뉴스 / 4.11.] 3CX DesktopApp 공급망 공격, 국내서도 감염 사실 포착

▲인스톨러에 포함된 악성코드 libffmpeg.dylib[자료=안랩 ASEC 분석팀]

그 다음으로 애플 맥(MAC) 환경에서는 공격자가 DMG 설치 파일에 악성코드를 삽입했다. 설치 파일 내부에 존재하는 공유 라이브러리 파일들 중 libffmpeg.dylib 파일에는 C&C 주소가 XOR 인코딩돼 저장됐다. 확인된 C&C 주소 대부분은 위의 윈도 환경과 유사한 것을 알 수 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>