>
연구(Insikt)

캄보디아 정부를 노리는 새로운 APT32 멀웨어 캠페인

게시일: 2020년 11월 10일
작성자: 채리티 라이트

레코디드 퓨처의 인식트 그룹은 동남아시아 국가 연합(ASEAN)을 테마로 한 스피어피시를 사용하여 캄보디아 정부를 노리는 새로운 멀웨어 캠페인을 발견했습니다. 인싯트 그룹은 기록된 미래의 RAT 컨트롤러 탐지 및 네트워크 트래픽 분석을 사용하여 베트남 국가가 후원하는 위협 활동 그룹인 APT32, 일명 오션로터스로 알려진 새로운 운영 인프라를 확인했습니다. 이 평가는 또한 이 인프라와 소통하는 여러 캄보디아 피해자 단체의 확인을 통해 뒷받침되며, 이러한 단체를 대상으로 한 이전 캠페인과도 일치합니다.

역사

베트남과 캄보디아는 베트남이 중국의 '동생'인 캄보디아에 보복 공격을 시작한 1970년대 중-베트남 전쟁으로 거슬러 올라가는 오랜 분쟁의 역사를 가지고 있습니다. 베트남은 2017년 연례 정상회의 기간 동안 아세안 웹사이트를 공격하고 캄보디아, 라오스, 필리핀의 정부 부처 또는 정부 기관 웹사이트를 공격하는 APT32를 결성하여 사이버 전쟁 역량을 강화하기 시작했습니다. 최근 몇 년 동안 베트남과 캄보디아의 관계는 부분적으로 중국의 일대일로 이니셔티브(BRI)로 인해 악화되었습니다. 훈센 캄보디아 총리가 시진핑 중국 국가주석과 가까워지면서 두 나라 간의 파트너십이 강화되어 베트남은 중요한 지역 협력에서 밀려났습니다. 중국의 캄보디아 투자에는 주요 인프라, 남중국해에서의 합동 군사 훈련, 베트남과 캄보디아 사이의 태국만에 전략적으로 위치한 리암 해군기지 바로 북쪽의 새로운 부동산 개발 등이 있습니다.

새로운 APT32 인프라

2020년 6월, 인싯트 그룹은 메탈잭과 데니스랫 등 APT32와 관련된 멀웨어 활동을 추적하는 독자적인 방법을 통해 확인된 새로운 APT32 운영 인프라에 대해 보고했습니다. 인싯트 그룹은 이와 동일한 방법론을 사용하여 새로운 활성 APT32 IP 주소와 관련 도메인을 지속적으로 식별했습니다. Insikt 연구원들은 이 캠페인의 일부인 몇 가지 샘플을 발견했습니다: 샘플 1: 첫 번째 샘플은 "បញ្ជីរាយនាយអនុព័ន្ធយោធាបរទេសនព"라는 제목의 악성 문서를 통해 전달됩니다.[.]exe", 즉 "캄보디아 외국군 주둔 및 군사 협력 사무소 목록.docx"로 번역됩니다.[.]exe". 스피어 피싱을 통해 전달된 것으로 추정되는 이 샘플은 4개의 파일이 포함된 자동 압축 해제 아카이브(SFX)입니다:

  1. Apple이 서명한 합법적인 실행 파일(SoftwareUpdate.exe).
  2. 관련 양성 동적 링크 라이브러리(DLL) 파일(SoftwareUpdateFiles.dll).
  3. 악성 DLL(SoftwareUpdateFilesLocalized.dll).
  4. 암호화된 셸코드가 포함된 "SoftwareUpdateFiles.locale"이라는 파일입니다.

SFX를 실행하면 Apple 실행 파일은 악성 DLL을 로드하기 전에 정상 DLL을 로드하며, 이 DLL은 SoftwareUpdateFiles.Resources/en.lproj 파일 경로에 저장됩니다. 그런 다음 악성 DLL은 SoftwareUpdateFile.locale 파일에서 암호화된 셸코드를 추출하고 이를 복호화하여 실행하는 동시에 사용자에게 미끼 문서('활성화 오류'를 표시하는 Microsoft Word 문서)를 표시하고 최종 페이로드를 로드합니다.

apt32-malware-campaign-1-1.png

이 로딩 프로세스는 인싯트 그룹과 안랩이 이전에 보고한 2020 아세안 정상회의 관련 APT32 샘플과 관련된 APT32 활동과 일치합니다. 악성코드 계열을 식별하기 위해 이러한 아티팩트에 대한 추가 분석이 Insikt 그룹 내에서 진행 중이며 더 많은 샘플이 분석되는 대로 업데이트가 게시될 예정입니다.

샘플 2: 2020년 10월 22일에 멀웨어 리포지토리에 업로드된 두 번째 샘플은 동일한 로딩 프로세스를 사용하며 식별된 C2 도메인 중 하나인 cloud.bussinesappinstant[.]com과 통신합니다.

이 샘플에서 SFX 파일은 "9_Programme_SOMCA-Japan_FINAL.docx~.exe"입니다, 아세안 문화예술 고위관리회의(SOMCA)와 관련하여 APT32가 아세안 및 기타 회원국을 타깃으로 삼는 데 지속적인 관심을 보이고 있음을 시사하는 것으로 보입니다.

apt32-malware-campaign-2-1.png

이 캠페인에 사용된 미끼 문서에는 '제7차 아세안+일본 문화예술 고위관리 회의'의 의제가 공란으로 표시되어 있습니다. (출처: 레코딩된 미래)

이 아카이브 파일은 동일한 "SoftwareUpdateFilesLocalized.dll"을 드롭합니다. 파일에서 볼 수 있습니다. 이 최신 샘플에 연결된 악성 DLL은 TTP(전술, 기법, 절차) 및 인프라가 겹칠 뿐만 아니라, 과거 APT32 샘플에서 볼 수 있었던 리치 헤더와 가져오기 해시를 동일하게 공유합니다.

인식트 그룹은 캄보디아 정부 기관에 할당된 여러 IP 주소가 APT32 C2 IP 주소 43.254.132[.]212와 정기적으로 통신하는 것을 통해 캄보디아를 표적으로 삼았다는 추가 증거를 확인했습니다.

관련