시리아 전자군이 주요 공격 방식으로 사용하고 있는 BlackWorm

• 포브스에 따르면, 최근 시리아 전자군이 시리아의 야당 홈페이지, 미군 중부 사령부(CENTCOM)에 Blackworm
  이라는 닷넷 기반의 RAT를 사용하여 공격하고 있다고 주장함
    ※ 시리아 전자군은 시리아의 친정부 해커조직으로 직․간접적으로 시리와 정부와 밀접한 연관을 맺고 있으며,
        주요 활동 목표로는 시리아 정부의 이미지를 개선하고 시리아 야당에 압력을 가함

 

주요내용

• Blackworm은 감염이 되면, 가장 먼저 백신을 사용하지 않음으로 설정하고 삭제시킨 후 감염 확대를 위해 전자
  우편을 발송, 레지스트리 자동 시작 프로그램 목록에 자신을 추가하는 웜의 일종
• BlackWorm RAT 특징
  - BlackWorm v0.3.0 빌더는 명령 제어 서버(C&C)의 IP 주소 이외의 구성이 필요 없기 때문에 간단하고 매우
    빠른 페이로드를 제공하여 초보자들도 쉽게 이용 가능
  - BlackWorm v0.3.0는 아래와 같은 명령들을 수행함

< BlackWorm v0.3.0 빌더의 명령어 기능 >

         - 위 기능 외에도, Windows의 특정 프로세스를 종료시키는 작업 관리자를 사용하지 않도록 설정, USB
           드라이브에 자신을 복사하고 자동 실행 하도록 설정함
         - 공격자가 피해 시스템 정보를 쉽게 알아보기 위해, 컨트롤러에 시스템의 OS 정보, 사용자 이름, 호스트 이름,
           카메라 존재, 활성 창 이름 같은 시스템 정보를 수집하여 출력함

• BlackWorm의 다른 버전인 다크 버전(v2.1)은 v0.3.0보다 좀더 세부적으로 피해 시스템을 제어 할 수 있도록
  설계되어 있으며, 다양한 파일 확장자(.EXE, .src, .DLL 등) 선택 가능

< BlackWorm v2.1 제어화면 >

 

[출처]
1. http://www.fireeye.com/blog/technical/2014/08/connecting-the-dots-syrian-malware-team-uses-blackworm-for-attacks.html
2. http://www.scmagazine.com/syrian-malware-team-makes-use-of-enhanced-blackworm-rat/article/368902/