본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

TA551(Shathak) 악성코드 분석 보고서

보안공지 2021-12-17



TA551(Shathak이라고도 함)은 2019년부터 피싱 이메일을 통해 꾸준히 악성코드를 배포하고 있습니다. 

TA551 그룹은 지난 몇 년 동안 Ursnif, Valak 및 IcedID 등의 다양한 맬웨어 계열을 유포했으나, 2021년 6월부터는 IcedID 유포를 중단하고 Trickbot을 유포하기 시작했습니다. TA551은 2021년 8월부터는 Trickbot 배포를 중단하고 BazarLoader를 배포하기 시작했습니다. 

 

[그림] 악성 DOC 매크로 동작 흐름도

TA551은 여러 해 동안 다양한 악성코드를 배포하였으나, 최근에는 Bazar 악성코드를 배포하기 시작하였으며 Bazar 악성코드는 탐지 회피 및 은폐에 중점을 두고 있는 악성코드입니다. 악성코드 제작자는 코드를 최대한 난독화하고 다른 프로세스의 컨텍스트에서 실행함으로써 동작하는 동안 최종 페이로드를 숨깁니다.

탐지를 더욱 회피하기 위해 Bazar 로더와 백도어는 블록체인 도메인을 사용함으로써 C2서버와의 네트워크 통신을 차단할 수 없도록 하고 있습니다. 따라서 악성코드 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부 파일 혹은 URL 클릭을 삼가야 하며, 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.