안랩에서는 2024년 상반기 국내 기업을 대상으로 한 공격에서 CLNTEND가 사용됐으며, 2024년 7월부터는 국내 ERP가 악용되고 있는 정황을 확인했다. 해당 ERP들은 공식 홈페이지가 확인되지 않으며, 사용자 수가 소수인 것으로 보아 소규모 제작 업체가 만들어 소수의 국내 업체들을 대상으로만 배포하고 있는 것으로 추정된다.

[그림 1] ERP와 함께 설치되는 CLNTEND

2024년 상반기에 확인된 공격은 최초 유포 방식이 아직 확인되지 않았다. DLL 사이드로딩(DLL Side-Loading) 방식으로 “winword.exe”가 사용됐다는 점만 확인된다. 하지만 2024년 7월부터는 크게 2가지 종류의 ERP를 통해 악성코드가 유포된 정황이 확인된다.

첫 번째 유형은 국내 소규모 개발 업체와 연관이 있는 ERP로 보인다. 해당 제작사는 고객사마다 ERP를 커스터마이징해 제공하는 것으로 추정되는데, 자사 ASD 상에서 확인되는 해당 업체의 정상 ERP들은 20MB 가까운 크기를 갖는 반면, 공격에 사용된 악성코드들은 모두 4MB 정도의 크기를 갖는 것이 특징이다.

[그림 2] ERP를 악용한 공격 사례

비록 직접 유포되는 악성코드는 수집되지 않았지만, 해당 악성코드가 생성하는 “VsGraphicsDesktopEngine.exe”는 또 다른 DLL 사이드로딩에 악용되는 정상 프로그램이다. 그리고 이후 아래 경로들에서 공통적으로 TIDRONE의 로더(Loader) 악성코드가 확인된다.

두 번째 유형은 실제 악성코드 유포 사례가 확인됐다. 이 유형의 경우에도 공식 홈페이지는 존재하지 않는 것으로 보인다. 위의 사례와 유사하게 고객사마다 다른 경로의 파일을 업로드하여 배포하는데, 특정 고객의 경우 처음에는 정상 ERP가 배포됐지만, 얼마 후 ERP와 CLNTEND를 함께 설치하는 드로퍼(Dropper)로 변경됐다.

[그림 3] ERP 배포 서버에서 다운로드된 CLNTEND

위 공격을 통해 설치되는 악성코드는 정상 실행 파일과 로더 기능을 담당하는 DLL, 그리고 암호화된 CLNTEND이며, 배포 이후 배포한 실행 파일을 실행한다. 정상 실행 파일은 DLL 사이드로딩 방식을 통해 동일 경로에 함께 배포된 악성 DLL을 로드하며, 최종적으로 또 다른 암호화된 파일을 복호화해 메모리 상에서 실행한다.

[그림 4] 동작 흐름도

* 전체내용은 아래에서 확인하세요.

https://mail.daum.net/top/INBOX/000000000001ReI