Vyveva: 라자루스 툴킷의 새로운 맞춤형 맬웨어

ESET의 전문가들은 새로운 악성 샘플을 발견했습니다. Lazarus APT 가 남아프리카의 한 화물 회사를 표적으로 사용했습니다. Vyveva로 명명된 이 악성 코드는 국가 지원 해커에 의해 정찰 및 사이버 스파이를 위해 인상적인 백도어 기능을 갖추고 있습니다.

Vyveva 백도어 개요

Vyveva는 북한 정부가 지원하는 그룹에 의해 고도로 표적화된 작전에 적용되는 맞춤형 위협입니다. 현재까지 보안 전문가들은 2020년 여름 화물 회사에 대한 사이버 공격과 관련된 피해 사례를 몇 가지 발견했을 뿐입니다. 그러나 분석에 따르면 이 멀웨어는 2018년 말부터 라자루스 캠페인에서 사용되었습니다. 게다가, 이 코드는 그룹의 무기고에 속하는 또 다른 위협인 NukeSped와 많은 코드 줄을 공유하고 있어 Vyveva를 북한의 상대방에게 귀속하는 데 도움이 됩니다.

ESET 은 Vyveva 백도어가 설치 프로그램, 로더, 악성 페이로드의 세 가지 주요 요소로 구성되어 있다고 설명합니다. 초기 침투 방법은 현재 미탐색 상태이지만, 보안 전문가들은 비밀리에 악성 드로퍼가 존재할 가능성을 제기합니다. 설치 프로그램은 로더의 지속성을 담당하며 기본 페이로드를 레지스트리에 삽입합니다. 또한, 로더 구성 요소는 XOR 복호화 알고리즘을 사용하여 페이로드를 복호화해 일련의 악성 기능을 수행할 준비를 합니다. that Vyveva backdoor consists of three main elements: installer, loader, and malicious payload. The initial intrusion method is currently unexplored, still, security practitioners suggest the existence of a secret malicious dropper. The installer is responsible for the persistence of the loader and puts the default payload into the registry. Further, the loader component decrypts the payload with an XOR decryption algorithm, so it is ready to perform the array of malicious functions.

연구원들에 따르면 Vyveva는 파일 탈취, 데이터 덤프, 임의 코드 실행, 시간 스탬프 수정 등 23개의 명령을 수행할 수 있습니다. 대부분의 기능은 일반적이지만 목록의 일부는 복잡한 작업을 해결할 수 있습니다. 예를 들어, 시간 스탬핑 옵션은 합법적인 파일에서 시간 메타데이터를 복사할 수 있습니다. 그리고 파일 업로드 명령은 디렉토리를 탈취하고 파일 확장자 필터링을 지원할 수 있습니다. 특히 명령은 비동기적으로 실행될 수 있으며 개별 스레드에서 수행될 수 있습니다.

Vyveva 백도어 탐지

새로운 라자루스 도구와 관련된 악성 활동을 탐지하기 위해, 우리는 다작의 위협 바운티 개발자 Kyaw Pyiyt Htet:

의 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다.

규칙은 다음 플랫폼으로 번역되어 있습니다: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix, 

EDR: Sentinel One

MITRE ATT&CK: 

전술: 실행, 데이터 탈취, 방어 회피

기술: API를 통한 실행(T0871), 명령 및 제어 채널을 통한 탈취(T1041), 가장하기(T1036)

또한 라자루스 침입에 대한 사전 방어를 확보하려면 맞춤형 탐지의 전체 목록 을 Threat Detection Marketplace에서 확인할 수 있습니다.

위협 탐지 마켓플레이스에 무료로 가입하십시오. Threat Detection Marketplace는 SecOps 팀이 보안 분석을 향상시키고 사이버 공격의 초기 단계에서 그들의 수명을 견딜 수 있도록 돕는 세계적인 Content-as-a-Service (CaaS) 플랫폼입니다. 위협 탐지 기술을 통해 수익을 창출하고 업계 최초의 SOC 콘텐츠 라이브러리에 기여하고 싶으신가요? Threat Bounty Program에 참여하세요!

플랫폼으로 이동 Threat Bounty 참가