FireEye에서 Phishing 캠페인을 수행하는 중국의 조직, APT3, APT18 그룹이 CVE-2015-5119 ZeroDay 취약점을 이용하고 있다는 것이 확인하였다.
Adobe가 7월 8일에 취약점 패치를 내놓았지만 이전에 APT3, APT18 그룹은 이미 이메일을 통한 Phishing 캠페인을 수행하고 있음이 확인 되었으며, 그 대상은 Aerospace and Defense, Construction and Engineering, Energy, High Tech, Non-Profit, Tele-Communications, Transportation 등 다양한 산업 분야임이 확인되었다.
APT3의 Phishing 캠페인의 이메일 형태는 아래와 같다.
7월 8일 이후, 위의 3개의 도메인은 194.44.130.179로 모두 Resolve 되었으며 해당 URL은 JavaScript 및 악의적인 Adobe Flash File로 연결된다. 악의적인 Adobe Flash File은 난독화된 GIF 파일을 다운로드하는데, 해당 GIF 파일에는 SHOTPUT payload가 포함되어 있다. SHOTPUT은 DLL Backdoor로써 HTTP를 통해 C&C 통신을 할 것으로 예상되며, 파일 다운로드, 업로드, 프로세스 관리, 시스템 명령 수행, 시스템 정보 탈취 등의 행위를 진행할 것으로 추정된다. SHOTPUT은 또한 Backdoor.APT.CookieCutter로 탐지되며 (아마도 FireEye 장비에서) 아래와 같은 특정 문자열들이 악성 코드 내부에 하드 코딩 되어 있다.
- psa.perrydale[.]com
- link.angellroofing[.]com
- 107.20.255.57
- 23.99.20.198
APT3 그룹이 2014년 중반 이후로 ZeroDay를 이용한 것이 확인된 것은 이번이 3번째이다.
APT18의 캠페인의 이메일 형태는 아래와 같다.
이와 같은 메일 수신 후에 해당 URL을 클릭하게 되면, 악의적인 Adobe Flash(.swf) 파일을 다운로드하게 된다. Swf에 의해 해당 취약점이 Exploit 되면 Gh0st Bot이 수행되어 감염 PC의 정보 탈취 등의 악의적인 행위를 진행하게 된다. 해당 악성 코드에서 발생되는 C&C 통신을 확인해보면 아래와 같은 형태의 Traffic을 확인할 수 있다. 해당 Traffic은 Gh0st Protocol 규격을 따른 형태로 확인되며 특정 Flags (HTTP\1.1 Sycmentec)이후 8byte 떨어진 곳에 \x78\x9c라는 zlib 헤더 값을 확인할 수 있다.
다만 조금은 형태가 다른 부분이 확인되어 이에 대한 부분은 확인이 필요한 상황이다. 공격 그룹 (APT18)에 의해 그 프로토콜 포맷 형태가 다소 변형된 것을 유추해볼 수 있다.
FE에서는 APT3, APT18 모두 최근 취약점 트렌트 및 기법에 대해 지속적으로 찾고, 연구하여 이를 적용하고 있다라고 판단하고 있다. 현재 단순 메일 형태로 유포되고 있는 것이 확인되지만 DBD 및 기타 형태로의 유포를 주시하고 모니터링 해야하겠다.