← 보안센터로 돌아가기

분석정보 · 악성코드 분석 정보

Outlook 사용자를 대상으로 유포되는 ORPC 백도어 악성코드

최근 “Bitter” 해커 그룹의 새로운 공격 도구인 “ORPC” 백도어가 발견됐다. 해당 백도어는 전자 메일 서비스 Outlook 사용자를 대상으로 유포되며, Microsoft Office의 구성요소 중 하나인 “OLMAPI32.DLL” 파일로 위장한다. 해당 DLL은 Outlook 실행 시 로드되는 모듈로 사용자가 Outlook을 실행하면, 백도어는 해당 DLL을 하이재킹해 대신 로드된

2023-08-25INCA Security Center

최근 “Bitter” 해커 그룹의 새로운 공격 도구인 “ORPC” 백도어가 발견됐다. 해당 백도어는 전자 메일 서비스 Outlook 사용자를 대상으로 유포되며, Microsoft Office의 구성요소 중 하나인 “OLMAPI32.DLL” 파일로 위장한다. 해당 DLL은 Outlook 실행 시 로드되는 모듈로 사용자가 Outlook을 실행하면, 백도어는 해당 DLL을 하이재킹해 대신 로드된 후 악성 동작을 수행한다.

 

“ORPC” 백도어는 먼저 작업 스케줄러에 Outlook을 주기적으로 실행하는 새로운 작업을 추가해 지속성을 획득한다. 해당 작업은 [그림 1]과 같이 “Miscrosoft Update”라는 이름으로 등록돼 정상 작업처럼 위장한다.

 

[그림 1] 작업 스케줄러

 

이후, 감염된 PC의 프로세스 목록과 시스템 정보를 수집한다.

 

[그림 2] 프로세스 리스트 및 시스템 정보 수집

 

정보 수집을 완료한 후, 정보 전송, 명령 및 제어를 위한 C&C 서버와 연결한다.

 

[그림 3] C&C 서버 연결

 

C&C 서버와 연결에 성공하면, 서버는 클라이언트 ID를 할당해 감염된 PC를 구분하며, ID는 [그림 4]와 같이 감염된 PC에 저장된다.

 

[그림 4] 클라이언트 ID


추가로, 서버는 감염된 PC에 명령 코드를 전송해 악성 동작을 수행한다. [표 1]은 명령 코드와 그에 따른 동작을 나타낸다.

 

[표 1] 명령 코드 및 동작

 

“ORPC” 백도어는 Microsoft Office의 구성요소로 위장해 Outlook과 함께 실행되며, 사용자가 악성코드 감염 여부를 인지하기 어렵다. 또한, 해당 백도어는 주기적으로 실행돼 지속적인 피해를 줄 수 있어 사용자의 주의가 필요하다. 따라서, 피해를 최소한으로 예방하기 위해서 백신 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면