Researchers Unveil APT28’s Advanced HTA Trojan Obfuscation Tactics
Researchers Unveil APT28’s Advanced HTA Trojan Obfuscation Tactics
Security researchers have uncovered sophisticated obfuscation techniques employed by APT28, a Russian-linked APT group.
gbhackers.com
- 공격 개요
- 러시아 연계 위협 그룹 APT28이 중앙아시아 및 카자흐스탄 지역을 대상으로 한 사이버 첩보 작전에서 고도화된 HTA(HTML Application) 기반 트로이목마 사용
- 다중 레이어 난독화 기법과 Microsoft의 VBE(VBScript Encoded) 인코딩을 활용해 탐지를 회피하고 분석을 어렵게 만듦
- HTA 트로이목마 구조 분석
- 악성 샘플(MD5: d0c3b49e788600ff3967f784eb5de973)은 고유한 문자열 분할자(@#@)를 통해 기능을 은폐
- x32dbg 등 디버깅 도구를 사용한 역공학 분석 결과, EDX와 EAX 레지스터를 활용한 반복 비교 루프를 통해 개별 문자 복호화
- 주소 범위 6DB59CF0 ~ 6DB59FF0 사이에서 동적으로 선택된 문자들을 이용해 문자열을 해석
- 커스텀 매핑 알고리즘으로 구성된 디코딩 로직이 적용되어, 동적 실행 시에도 코드 기능이 은폐됨
- VBE 인코딩 악용 기법
- APT28은 Microsoft Windows Script Encoder(screnc.exe)를 이용해 VBScript 파일(.vbs)을 .vbe 포맷으로 인코딩
- 원래는 스크립트 보호 목적으로 설계된 기능을 분석 방해를 위한 도구로 활용
- .vbe 파일에는 “#@
” 및 “#@$”와 같은 플래그가 포함되며, 공개된 Python 스크립트(vbe-decoder.py)로 복호화 가능 - 복호화된 최종 VBScript(MD5: f3b5da6704f014c741fcbb8c59d3bfb0)는 추가 악성 페이로드를 실행하여 첩보 활동 수행
\
- 기술적 특성 및 위협 수준
- 다중 난독화 + VBE 인코딩 조합은 전통적인 보안 솔루션 탐지를 우회할 수 있는 고도의 기술력 반영
- 정적 분석뿐만 아니라 동적 실행 환경에서도 문자열이 암호화된 상태로 존재하여 역공학 분석 난이도 상승
- 정당한 도구의 악용을 통해 보안 장비 및 분석자의 경계 회피
- IOC (침해지표)
- 파일 해시
- MD5: d0c3b49e788600ff3967f784eb5de973
- SHA256: 332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725
- 네트워크
- C2 IP: 5[.]45[.]70[.]178
- 파일 해시
- 결론
- APT28은 사이버 첩보 목적을 위해 합법적인 도구를 악용하고, 난독화 기법을 지속적으로 정교화하고 있음
- 조직은 VBE와 같이 악용 가능한 인코딩 형식에 대한 탐지 규칙 보완이 필요
- 보안 운영팀은 정적 분석뿐만 아니라 동적 메모리 분석 및 스크립트 기반 공격에 대한 탐지 능력 강화를 고려해야 함
- 국가 지원 해커 그룹의 공격 기법은 빠르게 진화 중이며, 이를 효과적으로 방어하기 위해선 위협 인텔리전스 공유 및 공동 대응이 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| CACTUS 랜섬웨어의 TTP에서 Black Basta 조직과의 연계 정황 식별 (0) | 2025.03.25 |
|---|---|
| LLMjacking, 클라우드 기반 생성형 AI 대상 공격의 부상 (0) | 2025.03.25 |
| AI 기반 인증정보 탈취(Credential Stuffing) 공격의 진화, Computer-Using Agent(CUA)의 위협 (0) | 2025.03.24 |
| 대규모 공격 캠페인, 4,000개 이상 ISP 네트워크 대상 인포스틸러 및 크립토 마이너 배포 (0) | 2025.03.24 |
| DragonForce 랜섬웨어 분석 (0) | 2025.03.24 |