국내 기업 대상 공격에 사용 중인 Xctdoor 악성코드 (Andariel)

AhnLab SEcurity intelligence Center(ASEC)은 최근 특정되지 않은 공격자가 국내 ERP 솔루션을 악용하여 공격을 수행하는 정황을 확인하였다. 공격자는 시스템에 침투한 이후 기업 내의 시스템들을 장악하기 위해 국내 특정 ERP 솔루션의 업데이트 서버를 공격한 것으로 추정된다. 또 다른 공격 사례에서는 취약한 웹 서버를 공격하여 악성코드를 유포하였다. 공격 대상이 된 곳은 국내 방산 업체, 제조업 등이 확인된다.
安实验室安全情报中心（ASEC）最近证实，一名身份不明的攻击者正在滥用国内ERP解决方案进行攻击。在渗透系统后，据信攻击者攻击了韩国特定ERP解决方案的更新服务器，以控制该公司的系统。在另一次攻击中，一个易受攻击的 Web 服务器遭到攻击，恶意软件被分发。攻击的目标被确定为国内国防公司和制造业。

확인된 악성코드들 중에는 기존 ERP 솔루션의 업데이트 프로그램에 악성 루틴이 삽입된 형태가 존재하는데 이러한 방식은 2017년 Andariel 그룹이 HotCroissan 백도어를 설치하기 위해 사용했던 사례와 유사하다. 제작자는 악성코드들을 개발하는 과정에서 Xct라는 문자열을 사용하였으며 여기에서는 최종적으로 사용된 백도어를 Xctdoor로 분류한다.
在已识别的恶意软件中，有一种恶意程序注入到现有ERP解决方案的更新程序中，类似于Andariel Group在2017年用于安装HotCroissan后门的程序。作者在开发恶意软件的过程中使用了字符串 XCT，最终使用的后门被归类为 XCTDOOR。

1. 과거 Andariel 공격 사례
1. 过去的安达里尔攻击

Rifdoor는 Lazarus 그룹의 하위 그룹으로 알려진 Andariel이 사용하는 백도어로서 2015년 11월에 처음 발견되었으며 2016년 초까지 활동이 확인되었다. [1] 이후 2017년부터는 Rifdoor의 변종이 공격에 사용되었는데 이는 2020년 미국의 CISA와 [2] VMware 사의 Carbon Black이 공개한 [3] Lazarus 그룹의 HotCroissant와 동일하다. Carbon Black은 Rifdoor와 HotCroiassant와의 유사성과 차이점을 상세하게 정리하였으며 여기에서는 Rifdoor 변종을 HotCroiassant로 분류한다.
Rifdoor 是 Andariel 使用的后门，被称为 Lazarus 组的一个子群，于 2015 年 11 月首次被发现，并被确认活跃到 2016 年初。[1] 自 2017 年以来，Rifdoor 的一个变体已被用于攻击，它与 Lazarus Group 的 HotCroissant 相同，后者于 2020 年由 CISA 在美国发布，[2] Carbon Black 在 VMware 中发布。Carbon Black 详细介绍了 Rifdoor 和 HotCroiassant 之间的异同，在这里，Rifdoor 变体被归类为 HotCroiassant。

HotCroissant를 이용한 공격 사례들 중에는 2017년 국내 ERP 솔루션을 악용하여 악성코드를 유포한 사례가 존재한다. 공격자는 업데이트 프로그램인 “ClientUpdater.exe”에 악성 루틴을 삽입하였다. 이는 공격자가 특정 조직에 침투한 이후 ERP의 업데이트 서버를 공격하여 내부 전파 목적으로 이를 악용한 것으로 추정된다.
在使用 HotCroissant 的攻击中，2017 年有一个案例，韩国 ERP 解决方案被滥用来分发恶意软件。攻击者将恶意例程注入更新程序“ClientUpdater.exe”中。据信，攻击者渗透到特定组织，然后攻击ERP的更新服务器并将其用于内部传播目的。

업데이트 프로그램에 삽입된 루틴은 다음과 같이 외부에서 추가 페이로드를 다운로드해 실행하는 기능을 담당한다. 해당 주소에서 다운로드된 악성코드는 2017년도부터 공격에 사용되고 있던 HotCroissant 백도어였다.
插入更新程序的例程负责在外部下载和执行其他有效负载，如下所示：从该地址下载的恶意软件是自 2017 年以来一直用于攻击的 HotCroissant 后门。

2. 최신 공격 사례 – ERP
2. 最新的攻击实践 – ERP

2024년 5월에도 유사한 공격 사례가 확인되었다. 과거 “ClientUpdater.exe”에 다운로더 루틴이 삽입된 것과 달리 이번에는 단순하게 Regsvr32.exe 프로세스를 이용해 특정 경로의 DLL을 실행하는 루틴이 삽입되어 있었다.
2024 年 5 月确认了类似的攻击。与之前插入下载器例程的“ClientUpdater.exe”不同，这次它只是一个使用Regsvr32.exe进程在特定路径中执行 DLL 的例程。

비록 최초 설치 과정은 확인되지 않지만 확인된 DLL이 시스템 내의 정보를 탈취하고 공격자의 명령을 실행할 수 있는 악성코드인 것을 통해 과거와 유사하게 특정 ERP의 업데이트 서버가 공격당한 것으로 보인다.
尽管初始安装过程尚未确认，但似乎特定ERP的更新服务器受到了攻击，与过去类似，因为识别的DLL是恶意软件，可以窃取系统内的信息并执行攻击者的命令。

최종적으로 설치된 DLL 악성코드는 공격자가 개발 과정에서 사용한 “XctMain”과 같은 키워드를 기반으로 여기에서는 Xctdoor로 분류한다. Xctdoor는 Regsvr32.exe 프로세스를 통해 실행될 수 있도록 DLL 포맷이며 Go 언어로 개발되었다.
根据攻击者在开发过程中使用的“XctMain”等关键字，最终安装的DLL恶意软件被归类为Xctdoor。Xctdoor 是一种 DLL 格式，可以通过Regsvr32.exe进程运行，并且是用 Go 语言开发的。

Regsvr32.exe 프로세스에 의해 실행될 경우 자신을 “taskhost.exe”, “taskhostex.exe”, “taskhostw.exe”, “explorer.exe”와 같은 프로세스에 인젝션한다. 이후 자신을 “%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge.Current_8wekyb3d8bbwe\Settings\roaming.dat” 경로에 복사하고 재부팅 후에도 동작할 수 있도록 시작 프로그램 폴더에 바로 가기 파일을 생성한다. 바로 가기 파일인 “MicrosoftEdge.lnk”는 “roaming.dat”을 직접 실행하는 형태가 아니며 Regsvr32.exe를 이용해 동일 경로의 “settings.lock” 파일을 실행한다.
当由Regsvr32.exe进程执行时，它会将自身注入到“taskhost.exe”、“taskhostex.exe”、“taskhostw.exe”和“explorer.exe”等进程中。然后，它将自身复制到路径“%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge.Current_8wekyb3d8bbwe\Settings\roaming.dat”，并在启动文件夹中创建一个快捷方式文件，以便在重新启动后可以工作。快捷键文件“MicrosoftEdge.lnk”不直接执行“roaming.dat”，而是使用Regsvr32.exe在同一路径上执行“settings.lock”文件。

“settings.lock”은 인젝터 악성코드로서 공격자가 제작할 때 사용한 이름에 따라 XcLoader로 분류한다. XcLoader는 단순하게 동일 경로의 “roaming.dat” 파일을 탐색기 즉 explorer.exe에 인젝션하는 기능을 담당한다.
“settings.lock”是一种注入器恶意软件，根据攻击者创建它的名称将其归类为 XcLoader。XcLoader 只负责将相同路径的“roaming.dat”文件注入资源管理器或explorer.exe。

참고로 Go 언어로 개발된 XcLoader는 이번 공격에서 최초로 확인되었으며 처음에는 C언어로 개발된 XcLoader가 공격에 사용되었다. 이번 공격에서도 Go 언어로 개발된 XcLoader 외에 C언어로 개발된 XcLoader가 함께 확인되었다. 해당 유형에 대해서는 다음 항목에서 정리한다.
作为参考，在这次攻击中首次发现了用 Go 语言开发的 XcLoader，并且最初在攻击中使用了用 C 语言开发的 XcLoader。在这次攻击中，除了用 Go 开发的 XcLoader 之外，还发现了用 C 语言开发的 XcLoader。以下各节总结了这些类型。

최종적으로 실행되는 Xctdoor는 C&C 서버에 사용자 이름, 컴퓨터 이름, 악성코드의 PID 등과 같은 기본적인 정보를 전송하고 명령을 전달받아 실행할 수 있는 백도어 악성코드이다. 물론 이외에도 스크린샷 캡쳐, 키로깅, 클립보드 로깅, 드라이브 정보를 전송하는 정보 탈취 기능도 함께 지원한다.
最终执行的Xctdoor是一种后门恶意软件，可以将恶意软件的用户名、计算机名称、PID等基本信息发送到C&C服务器，接收命令并执行。当然，它还支持屏幕截图捕获、键盘记录、剪贴板记录和信息窃取以传输驱动器信息。

Xctdoor는 HTTP 프로토콜을 이용해 C&C 서버와 통신하는데 패킷 암호화에는 메르센 트위스터(mt19937) 알고리즘과 Base64 알고리즘이 사용된다.
Xctdoor 使用 HTTP 协议与 C&C 服务器通信，并使用 Mersenne Twister （MT19937） 算法和 Base64 算法对数据包进行加密。

3. 최신 공격 사례 – 웹 서버
3. 最新攻击案例 – Web 服务器

2024년 3월에는 웹 서버를 공격하여 XcLoader를 설치하는 사례가 확인되었다. 공격 대상이 2013년 개발된 8.5 버전의 윈도우 IIS 웹 서버인 것을 보아 부적절한 설정이나 취약점 공격을 통해 악성코드를 유포한 것으로 추정된다.
2024 年 3 月，确认有 Web 服务器因安装 XcLoader 而遭到攻击。考虑到攻击的目标是 2013 年开发的 Windows IIS Web 服务器版本 8.5，据推测该恶意软件是通过不正确的配置或漏洞攻击分发的。

IIS 서버에서 실행된 명령들을 보면 악성코드 설치와 관련된 행위 외에도 시스템의 정보를 조회하는 등의 행위가 확인된다. 이는 일반적으로 웹 서버에 웹쉘을 설치하고 이를 이용해 명령을 실행하는 사례들과 유사하며 해당 시스템 또한 웹쉘이 설치되어 있을 것으로 추정된다.
如果查看在IIS服务器上执行的命令，则可以看到，除了与安装恶意软件相关的操作外，还有诸如查询系统信息之类的操作。这类似于在 Web 服务器上安装 Web Shell 并使用它来执行命令的情况，并且假定系统也安装了 Web Shell。

공격에 사용된 XcLoader는 Go 언어로 개발된 유형과 유사하게 동일 경로에 위치한 “roaming.dat” 파일을 읽어 복호화한 후 프로세스에 인젝션하는 기능을 담당한다. 차이점이 있다면 2024년 5월 사례에서는 “roaming.dat” 파일이 PE 형태이지만 해당 사례에서는 암호화된 파일이라는 점이다. XcLoader는 주로 탐색기 프로세스를 인젝션 대상으로 하지만 “sihost.exe” 프로세스를 선택하는 경우도 존재한다.
攻击中使用的 XcLoader 负责读取和解密位于同一路径中的“roaming.dat”文件，类似于 Go 语言中开发的类型，然后将它们注入进程中。不同的是，在 2024 年 5 月的情况下，“roaming.dat”文件是 PE 格式，但在这种情况下，它是加密文件。XcLoader 主要针对 Explorer 进程进行注入，但也有选择“sihost.exe”进程的情况。

해당 공격에 사용된 XcLoader의 특징으로는 다음과 같이 특정 경로에 로그를 쓰는 것이다. 이 경로는 웹 서버와 관련된 구체적인 경로로 보이며 즉 이미 공격자에 의해 웹 서버가 장악되었다는 것을 의미한다.
攻击中使用的 XcLoader 的功能之一是它将日志写入特定路径，如下所示：这似乎是与 Web 服务器相关的特定路径，这意味着 Web 服务器已被攻击者接管。

참고로 공격이 발생한 시스템들 중 하나에서는 이후 Ngrok의 로그가 확인되기도 하였다. Ngrok는 터널링 프로그램으로서 외부에서 NAT 환경 내부에 존재하는 시스템에 접속할 수 있게 노출시켜 주는 도구이다. 일반적으로 공격자가 감염 시스템에 RDP로 접속해 원격 제어를 하기 위해 설치하는 경우가 많으며 Kimsuky 그룹의 공격 사례에서 자주 확인된다.
顺便说一句，在发生攻击的其中一个系统上，随后检查了 Ngrok 的日志。Ngrok 是一个隧道程序，它公开对 NAT 环境中系统的外部访问。通常，攻击者会RDP到受感染的系统中并安装它们以远程控制它们，这在Kimsuky组织的攻击案例中很常见。

4. 결론 4. 结论

ASEC에서는 고도화된 지능형 지속 위협(Advanced Persistent Threat : APT)을 모니터링하고 있으며 최근 국내 ERP 솔루션을 악용한 공격 사례를 확인하였다. 공격자는 과거 Andariel 그룹이 사용한 방식과 유사하게 조직 내부에 악성코드를 전파하기 위해 ERP 솔루션을 악용하였다.
ASEC监控高级持续性威胁（APT），最近发现了利用国内ERP解决方案的攻击。与Andariel集团过去使用的方式类似，攻击者利用ERP解决方案在组织内部传播恶意软件。

최근 공격은 2024년 5월, 방산 업체를 대상으로 한 것이 확인되었지만 유사한 공격은 이전부터 이루어지고 있었다. 2024년 3월에는 국내 제조 업체의 웹 서버를 공격하여 XcLoader를 설치한 사례가 확인되었다. XcLoader는 Xcdoor를 정상 프로세스에 인젝션하는 기능을 담당하는 인젝터 악성코드이다. Xcdoor는 스크린 캡쳐, 키로깅, 클립보드 로깅, 드라이브 정보 등 감염 시스템의 정보를 탈취하고 공격자의 명령을 실행할 수 있는 백도어 악성코드이다. 공격자는 해당 악성코드를 통해 감염 시스템을 제어하고 정보를 탈취할 수 있을 것이다.
最新的攻击被证实是在2024年5月针对一家国防承包商的，但类似的攻击之前也发生过。2024 年 3 月，确认 XcLoader 是通过攻击国内某厂商的 Web 服务器安装的。XcLoader 是一种注入器恶意软件，负责将 Xcdoor 注入正常进程。Xcdoor 是一种后门恶意软件，可以从受感染的系统中窃取信息，例如屏幕截图、键盘记录、剪贴板记录和驱动器信息，并执行攻击者的命令。攻击者将能够使用恶意软件来控制受感染的系统并窃取信息。

사용자들은 출처가 불분명한 메일의 첨부 파일이나 웹 페이지에서 다운로드한 실행 파일은 각별히 주의해야 하며, 기업 보안 담당자는 자산 관리 프로그램의 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치를 수행하여야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
用户应格外小心来自未知来源的电子邮件中的附件或从网页下载的可执行文件，企业安全人员应加强对资产管理程序的监控，并在存在任何程序安全漏洞时进行修补。此外，您应使用最新的补丁和 V3 更新您的操作系统和 Internet 浏览器到最新版本，以提前防止此类恶意软件的感染。

파일 진단 文件诊断
– Trojan/Win.XcLoader.C5642132 (2024.06.19.00)
– 特洛伊木马/Win.XcLoader.C5642132 （2024.06.19.00）
– Trojan/Win.XcLoader.C5641779 (2024.06.17.02)
– 特洛伊木马/Win.XcLoader.C5641779 （2024.06.17.02）
– Trojan/Win.XcLoader.C5641780 (2024.06.17.02)
– 特洛伊木马/Win.XcLoader.C5641780 （2024.06.17.02）
– Backdoor/Win.Xctdoor.C5626572 (2024.05.27.03)
– 后门/Win.Xctdoor.C5626572 （2024.05.27.03）
– Trojan/Win.Launcher.C5626571 (2024.05.29.00)
– 特洛伊木马/Win.Launcher.C5626571 （2024.05.29.00）
– Trojan/Win.Injector.R642750 (2024.04.03.01)
– 特洛伊木马/Win.Injector.R642750 （2024.04.03.01）
– Backdoor/Win.Xctdoor.C5622753 (2024.05.18.00)
– 后门/Win.Xctdoor.C5622753 （2024.05.18.00）
– Trojan/Win.Injector.C5622750 (2024.05.17.02)
– 特洛伊木马/Win.Injector.C5622750 （2024.05.17.02）
– Trojan/Win.Agent.C5622754 (2024.05.29.00)
– 特洛伊木马/Win.Agent.C5622754 （2024.05.29.00）
– Trojan/Win.Injector.C5607331 (2024.04.03.01)
– 特洛伊木马/Win.Injector.C5607331 （2024.04.03.01）
– Trojan/Win32.Rifdoor.R214775 (2017.12.06.00)
– 特洛伊木马/Win32.Rifdoor.R214775 （2017.12.06.00）
– Trojan/Win32.Andaridown.R216669 (2017.12.27.09)
– 特洛伊木马/Win32.Andaridown.R216669 （2017.12.27.09）

행위 진단 行为诊断
– Execution/MDP.Ngrok.M4615
– 执行/MDP。Ngrok.M4615

IoC 国际 奥委会
MD5 MD5型
– 235e02eba12286e74e886b6c99e46fb7 : 변조된 ERP 업데이트 프로그램 – 과거 사례 (ClientUpdater.exe)
– 235e02eba12286e74e886b6c99e46fb7：篡改的ERP更新程序 – 过去的案例（ClientUpdater.exe）
– 396bee51c7485c3a0d3b044a9ceb6487 : HotCroissant – 과거 사례 (***Kor.exe)
– 396bee51c7485c3a0d3b044a9ceb6487 ： 热羊角面包 – 과거 사례 （***Kor.exe）
– ab8675b4943bc25a51da66565cfc8ac8 : 변조된 ERP 업데이트 프로그램 – 최신 사례 (ClientUpdater.exe)
– ab8675b4943bc25a51da66565cfc8ac8：篡改的ERP更新程序 – 最新做法（ClientUpdater.exe）
– f24627f46ec64cae7a6fa9ee312c43d7 : 변조된 ERP 업데이트 프로그램 – 최신 사례 (ClientUpdater.exe)
– f24627f46ec64cae7a6fa9ee312c43d7：篡改的ERP更新程序 – 最新做法（ClientUpdater.exe）
– 6928fab25ac1255fbd8d6c1046653919 : XcLoader (XcExecutor.exe)
– 6928fab25ac1255fbd8d6c1046653919：XcLoader （XcExecutor.exe）
– 9a580aaaa3e79b6f19a2c70e89b016e3 : XcLoader (icsvcext.dll)
– 9a580aaaa3e79b6f19a2c70e89b016e3：XcLoader （icsvcext.dll）
– a42ae44761ce3294ce0775fe384d97b6 : XcLoader (icsvcext.dll)
– a42ae44761ce3294ce0775fe384d97b6：XcLoader （icsvcext.dll）
– d852c3d06ef63ea6c6a21b0d1cdf14d4 : XcLoader (icsvcext.dll)
– d852c3d06ef63ea6c6a21b0d1cdf14d4：XcLoader （icsvcext.dll）
– 2e325935b2d1d0a82e63ff2876482956 : XcLoader (settings.lock)
– 2e325935b2d1d0a82e63ff2876482956：XcLoader （settings.lock）
– 4f5e5a392b8a3e0cb32320ed1e8d0604 : XcLoader (test.exe)
– 4f5e5a392b8a3e0cb32320ed1e8d0604：XcLoader （test.exe）
– 54d5be3a4eb0e31c0ba7cb88f0a8e720 : XcLoader (test.exe)
– 54d5be3a4eb0e31c0ba7cb88f0a8e720：XcLoader （test.exe）
– b43a7dcfe53a981831ae763a9a5450fd : XcLoader (test.exe)
– b43a7dcfe53a981831ae763a9a5450fd：XcLoader （test.exe）
– e554b1be8bab11e979c75e2c2453bc6a : XcLoader (test.exe)
– e554b1be8bab11e979c75e2c2453bc6a：XcLoader（test.exe）
– 41d5d25de0ca0fdc54c24c484f9f8f55 : XcLoader (settings.lock)
– 41d5d25de0ca0fdc54c24c484f9f8f55：XcLoader （settings.lock）
– b96b98dede8a64373b539f94042bdb41 : XcLoader (settings.lock)
– b96b98dede8a64373b539f94042bdb41：XcLoader （settings.lock）
– 375f1cc32b6493662a78720c7d905bc3 : XcLoader (settings.lock)
– 375f1cc32b6493662a78720c7d905bc3：XcLoader （settings.lock）
– d938201644aac3421df7a3128aa88a53 : XcLoader (onedrive.dll)
– d938201644aac3421df7a3128aa88a53：XcLoader （onedrive.dll）
– d787a33d76552019becfef0a4af78a11 : XcLoader (onedrive.dll)
– d787a33d76552019becfef0a4af78a11：XcLoader （onedrive.dll）
– 09a5069c9cc87af39bbb6356af2c1a36 : XcLoader (onedrive.dll)
– 09a5069c9cc87af39bbb6356af2c1a36：XcLoader （onedrive.dll）
– ad96a8f22faab8b9c361cfccc381cd28 : Xctdoor (******.***.Common.RegEx.dll)
– ad96a8f22faab8b9c361cfccc381cd28：Xctdoor（******.***。Common.RegEx.dll）
– 9bbde4484821335d98b41b44f93276e8 : Xctdoor (******.***.Common.RegEx.dll)
– 9bbde4484821335d98b41b44f93276e8：Xctdoor（******.***。Common.RegEx.dll）
– 11465d02b0d7231730f3c4202b0400b8 : Xctdoor (******.***.Common.RegEx.dll)
– 11465d02b0d7231730f3c4202b0400b8：Xctdoor（******.***。Common.RegEx.dll）

C&C 서버 주소 C&C 服务器地址
– 195.50.242[.]110:8080 : HotCroissant
– 195.50.242[.]110：8080 ： 热羊角面包
– hxxp://beebeep[.]info/index.php : Xctdoor
– hxxp://beebeep[.]信息/index.php ： Xctdoor

다운로드 주소 下载地址
– hxxp://www.jikji.pe[.]kr/xe/files/attach/binaries/102/663/image.gif : HotCroissant
– hxxp://www.jikji.pe[.]kr/xe/files/attach/binaries/102/663/image.gif：热羊角面包

原文始发于ASEC：국내 기업 대상 공격에 사용 중인 Xctdoor 악성코드 (Andariel)