[하루한줄] 화물 물류 회사 공격에 사용된 라자루스 그룹의 백도어 Vyveva

URL

(Are you) afreight of the dark? Watch out for Vyveva, new Lazarus backdoor

Target

• Windows

Explain

ESET에서 라자루스 그룹이 남아프리카 화물 물류 회사를 공격하는 데 사용된 백도어 Vyveva를 발견하였습니다. 백도어는 많은 기능이 포함되어 있으며 토르 네트워크를 통해 C&C 서버와 통신합니다.

Vyveva는 이전 라자루스에서 사용한 NukeSped 악성코드와 비슷한 코드를 사용합니다. 네트워크 통신에서 fake TLS 사용, command line execution chains, 암호화 및 토르 서비스 사용 등을 미루어보아 라자루스의 바이러스임을 알 수 있습니다.

Vyveva는 인스톨러, 로더, 백도어 세 가지로 구성되어 있습니다. 인스톨러는 백도어 로더의 유지를 위한 서비스를 생성하고 내장된 백도어 설정을 레지스트리에 저장합니다. 정상적인 서비스로 위장하기 위해서 서비스 이름과 표시되는 이름은 이미 존재하는 서비스에서 무작위로 단어를 조합하여 생성됩니다. 그 후 infection ID를 무작위 값으로 생성하여 다음과 같이 레지스트리에 저장합니다.

[HKLM\SOFTWARE\Microsoft\DirectX]
	UsageMask = <CONFIG_DATA>

Vyveva의 메인인 백도어는 C&C 서버에 접속하고 명령어를 실행합니다. 23개의 명령어가 존재하며, 일부는 비동기식으로 자체 스레드에서 실행됩니다. 대부분 파일 및 프로세스 작업이나 정보 수집을 위한 명령어지만 파일 timestomping을 위한 명령어도 존재합니다. 또한 백도어는 새로 연결되거나 연결이 끊어진 드라이브를 모니터링하며 로그온한 사용자 수를 모니터링하는 세션 감시 기능 또한 존재합니다. 새 드라이브나 세션 이벤트가 발생하면 기존 설정된 간격을 무시하고 C&C 서버에 연결합니다. 발견된 Vyveva의 샘플들은 다음과 같습니다.