[하루한줄] 화물 물류 회사 공격에 사용된 라자루스 그룹의 백도어 Vyveva

URL

(Are you) afreight of the dark? Watch out for Vyveva, new Lazarus backdoor

Target

  • Windows

Explain

ESET에서 라자루스 그룹이 남아프리카 화물 물류 회사를 공격하는 데 사용된 백도어 Vyveva를 발견하였습니다. 백도어는 많은 기능이 포함되어 있으며 토르 네트워크를 통해 C&C 서버와 통신합니다.

Vyveva는 이전 라자루스에서 사용한 NukeSped 악성코드와 비슷한 코드를 사용합니다. 네트워크 통신에서 fake TLS 사용, command line execution chains, 암호화 및 토르 서비스 사용 등을 미루어보아 라자루스의 바이러스임을 알 수 있습니다.

Vyveva는 인스톨러, 로더, 백도어 세 가지로 구성되어 있습니다. 인스톨러는 백도어 로더의 유지를 위한 서비스를 생성하고 내장된 백도어 설정을 레지스트리에 저장합니다. 정상적인 서비스로 위장하기 위해서 서비스 이름과 표시되는 이름은 이미 존재하는 서비스에서 무작위로 단어를 조합하여 생성됩니다. 그 후 infection ID를 무작위 값으로 생성하여 다음과 같이 레지스트리에 저장합니다.

[HKLM\SOFTWARE\Microsoft\DirectX]
	UsageMask = <CONFIG_DATA>

Vyveva의 메인인 백도어는 C&C 서버에 접속하고 명령어를 실행합니다. 23개의 명령어가 존재하며, 일부는 비동기식으로 자체 스레드에서 실행됩니다. 대부분 파일 및 프로세스 작업이나 정보 수집을 위한 명령어지만 파일 timestomping을 위한 명령어도 존재합니다. 또한 백도어는 새로 연결되거나 연결이 끊어진 드라이브를 모니터링하며 로그온한 사용자 수를 모니터링하는 세션 감시 기능 또한 존재합니다. 새 드라이브나 세션 이벤트가 발생하면 기존 설정된 간격을 무시하고 C&C 서버에 연결합니다. 발견된 Vyveva의 샘플들은 다음과 같습니다.

SHA-1 Filename Description
DAD50AD3682A3F20B2F35BE2A94B89E2B1A73067 powerctl.exe Installer
69529EED679B0C7F1ACC1FD782A4B443CEC0CF83 powerctl.dll Loader (x86)
043ADDFB93A10D187DDE4999D78096077F26E9FD wwanauth.dll Loader (x64)
1E3785FC4FE5AB8DAB31DDDD68257F9A7FC5BF59 wwansec.dll Loader (x86)
4D7ADD8145CB096359EBC3E4D44E19C2735E0377 msobjs.drx Backdoor (ecnrypted)
92F5469DBEFDCEE1343934BE149AFC1241CC8497 msobjs.drx Backdoor (dencrypted with fixed MZ header)
A5CE1DF767C89BF29D40DC4FA6EAECC9C8979552 JET76C5.tmp Bacckdoor Tor library (encrypted)
66D17344A7CE55D05A324E1C6BE2ECD817E72680 JET76C5.tmp Backdoor Tor library (dencrypted with fixed MZ header)