상세 컨텐츠

본문 제목

MuddyWater와 연관 된 새로운 PowerShell 기반 백도어 발견

국내외 보안동향

by 알약(Alyac) 2018. 12. 3. 10:04

본문

New PowerShell-based Backdoor points to MuddyWater


Trend Micro의 연구원들이 MuddyWater APT 그룹이 사용한 악성코드와 매우 유사한 PowerShell 기반의 백도어를 발견했습니다.


첫 번째 MuddyWater 캠페인은 2017년 말 발견 되었으며, 이 때 Palo Alto Networks의 연구원들은 중동에서 일어난 수상한 공격들을 조사하고 있었습니다.


전문가들은 사우디 아라비아, 이라크, 이스라엘, 아랍 에미리트, 그루지야, 인도, 파키스탄, 터키 및 미국의 기관들을 노렸으며 2017년 2월~10월 사이에 이루어진 공격의 범인을 찾는데 혼란을 겪어, 이 캠페인을 ‘MuddyWater’라 명명했습니다.


공격자들은 1단계 PowerShell 기반 백도어인 POWERSTATS를 사용했지만, 시간이 지남에 따라 해커는 툴과 기술을 변경했습니다.


2018년 3월, 파이어아이의 전문가들이 Temp.Zagros 그룹(MuddyWater의 또 다른 이름)이 실시한 아시아와 중동 지역을 노리며 2018년 1월~3월 이루어진 대규모 피싱 캠페인을 발견했습니다.


TrendMicro가 발견한 가장 최근 공격에서는, 공격자들이 MuddyWater와 호환이 가능한 TTPs를 사용했으며 이 악성 코드는 터키에서 VirusTotal에 업로드 되었습니다. 공격자들은 MuddyWater의 POWERSTATS 악성코드와 유사한 새로운 PowerShell 백도어를 드랍하는 미끼 문서를 사용했습니다.


“이 문서들의 이름은 Raport.doc 또는 Gizli Raport.doc (터키어로 “보고서” 또는 “기밀 보고서”라는 의미) 또는 maliyeraporti (Gizli Bilgisi).doc (터키어로 “금융 (기밀 정보)”를 의미)였습니다. 이 파일들 모두 터키에서 VirusTotal에 업로드 되었습니다.”


“우리의 분석에 따르면, 이들은 MuddyWater의 POWERSTATS 백도어로 알려진 새로운 PowerShell 기반 백도어를 드랍합니다. 이전 공격들에 POWERSTATS를 사용한 것과는 다르게, 이번에는 C&C 통신 및 데이터 추출을 위해 클라우드 파일 호스팅 제공자의 API를 사용합니다.”


무기화 된 문서들은 터키 정부 조직의 로고를 모호하게 보여주고 있으며, 피해자에게 문서를 정상적으로 표시하려면 매크로를 활성화하라고 속입니다.


<출처: https://blog.trendmicro.com/trendlabs-security-intelligence/new-powershell-based-backdoor-found-in-turkey-strikingly-similar-to-muddywater-tools/>


이 매크로는 base52로 인코딩 된 문자열을 포함하고 있습니다. 이 기술은 흔한 편은 아니며, MuddyWater가 과거 공격에서 사용한 적이 있습니다. 매크로가 활성화 되면, 이는 .dll 및 .reg 파일을 %temp% 경로에 드랍할 것입니다.


이 PowerShell 코드는 여러 겹으로 난독화 되어 있습니다. 백도어는 처음에 시스템 정보를 수집하고, 다양한 정보의 조각들을(예: OS 명, 도메인 명, 사용자 이름, IP 주소) 하나의 긴 문자열로 연결합니다.


이 악성코드는 통신을 위해 <md5(하드디스크 시리얼 넘버)>라 명명 된 파일을 사용합니다. 이 파일의 확장자는 파일의 목적에 따라 다양합니다:


.cmd: 실행할 명령어가 있는 텍스트 파일

.reg: myinfo() 함수를 통해 생성 된 시스템 정보

.prc: 실행 된 .cmd 파일의 아웃풋, 로컬 기기에만 저장 됨

.res: 실행 된 .층 파일의 아웃풋, 클라우드 스토리지에 저장 됨


“MuddyWater 구 버전 및 최근 버전인 이 백도어 둘 모두 기기에 직접적으로 연결 해 명령을 내리는 대신 비동기 메커니즘으로 이 파일을 사용했습니다.”


“이 악성코드의 운영자들은 실행 될 명령어를 .cmd 파일에 남겨둔 뒤 나중에 실행 된 명령어의 결과를 저장하고 있는 .res 파일을 받기 위해 돌아옵니다.”


이 악성코드는 파일 업로드, 지속성 제거, 종료, 파일 다운로드, 명령어 실행 등을 포함한 다양한 명령어를 지원합니다.


전문가들은 이 공격이 과거에 MuddyWater에 공격 당한 적 있는 터키의 금융 및 에너지 분야 관련 정부 조직을 노리는 것으로 결론지었습니다.



출처 : 

https://securityaffairs.co/wordpress/78586/apt/muddywater-powershell-backdoor.html

https://blog.trendmicro.com/trendlabs-security-intelligence/new-powershell-based-backdoor-found-in-turkey-strikingly-similar-to-muddywater-tools/



관련글 더보기

댓글 영역