IT Security

악성코드) 보안업체 코드서명 인증서를 포함한 악성코드 발견

로픽 2019. 7. 31. 22:30
300x250

19년 7월 30일 국내 정보보호 기업 M사의 유효한 코드서명 인증서를 포함한 악성코드가 발견되었습니다.

 

이번 악성코드 공격은 안다리엘이라는 북 해커조직이 주로 사용하는 특정 암호 알고리즘을 포함하고 있다고 합니다.

 

* 보안뉴스 기사

https://www.boannews.com/media/view.asp?idx=81889&utm_source=dable

 

[긴급] 北 추정 해킹그룹, 보안업체 코드서명 인증서 또 악용

국방 및 방위산업체와 ATM, 여행사 등을 공격한 것으로 잘 알려진 북한 추정 국가지원 해커조직의 새로운 공격이 30일 발견돼 관계기관이 비상에 걸렸다.

www.boannews.com

 

해당 악성코드에 대한 이스트시큐리티의 분석리포트를 보면, 악성코드에 감염이 되면 스케줄러에 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치한다고 합니다. 봇에 감염된 PC는 추가적인 악성행위를 수행할 수 있다고 합니다.

 

 

* 출처 : 이스트시큐리티 알약 블로그

https://blog.alyac.co.kr/2446?category=957259

 

국내 보안업체의 유효한 디지털서명을 탑재한 악성코드 주의!

안녕하세요. 이스트시큐리티 시큐리티 대응센터(ESRC)입니다. 2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다. 이..

blog.alyac.co.kr

 

이스트시큐리티 알약 블로그에 작성된 MD5 값을 참고하여 바이러스 토탈을 조회하면 다수의 안티바이러스 벤더에서 탐지된 것을 확인할 수 있습니다.

 

 

* 출처 : 바이러스토탈 (SHA256 : 315c06bd8c75f99722fd014b4fb4bd8934049cde09afead9b46bddf4cdd63171)

https://www.virustotal.com/gui/file/315c06bd8c75f99722fd014b4fb4bd8934049cde09afead9b46bddf4cdd63171/detection

 

VirusTotal

 

www.virustotal.com

* 출처 : any.run 악성코드 분석 결과

https://app.any.run/tasks/597afbf2-0a87-41c8-b96c-2a09b7eafc34/

 

javaupdatemain.exe (MD5: 9758EFCF96343D0EF83854860195C4B4) - Interactive analysis - ANY.RUN

Interactive malware hunting service. Any environments ready for live testing most type of threats. Without install. Without waiting.

app.any.run

 

정보보안 M사의 보안솔루션을 이용하는 분들께서 특별한 주의가 필요하며, 아래의 IP와 URL을 차단을 권고드립니다.

 

* 악성코드 요약정보

- 파일명 : javaupdatemain.tmp

- SHA256 : 315c06bd8c75f99722fd014b4fb4bd8934049cde09afead9b46bddf4cdd63171

- C2 서버 IP 정보 : 51[.]254[.]60[.]208 (FR / 프랑스)

- 악성URL : 51[.]254[.]60[.]208/common/javaupdatemain[.]tmp

 

반응형