2년 동안 탐지를 피해온 Ratsnif, OceanLotus 작전에서 발견돼

After 2 years under the radars, Ratsnif emerges in OceanLotus ops

보안 회사인 Cylance의 전문가들이 OceanLotus APT 그룹의 사이버 간첩 작전에 사용된 새로운 RAT(Remote Access Trojans)인 Ratsnif를 발견했습니다.

APT32, Cobalt Kitty라고도 알려진 OceanLotus APT 그룹은 최소 2013년부터 활동해온 국가의 후원을 받는 그룹입니다.

해커는 여러 분야의 조직들을 노렸으며 국외 정부, 반체제 인사 및 언론인들을 공격했습니다.

FireEye의 연구원들은 최소 2014년부터 APT32가 베트남의 제조, 소비자 제품, 접대 분야에 관심을 두고 외국 기업들을 노리는 것을 발견했습니다.

APT32는 국외 투자자들과 관련이 있는 주변 네트워크 보안 및 기술 인프라 기업, 보안 회사 또한 노렸습니다.

타깃의 유형으로 미루어 볼 때, OceanLotus는 베트남과 관련된 사이버 간첩 그룹인 것으로 추정 됩니다.

최근 Ratsnif RAT에 웹 페이지를 수정하고 SSL을 하이재킹하는 새로운 기능이 추가되었습니다.

과거 OceanLotus 해커들은 Cobalt Strike와 같은 상용 툴과 커스텀 멀웨어를 공격에 모두 사용했었습니다.

전문가들은 Ratsnif RAT의 샘플 4개를 분석했는데, 이들 중 3개는 2016년, 1개는 2018년 하반기에 생성되었다고 밝혔습니다.

분석 결과에 따르면, 해당 악성코드는 아래 기능을 추가하여 디버그 빌드에서 안정적인 버전으로 개선 되었습니다.

- HTTP를 통한 C2

- 패킷 스니핑

- ARP 포이즈닝

- DNS 스푸핑

- HTTP 리디렉션

- 원격 쉘

2016년 샘플 3개 중 2개는 개발 및 테스팅 중인 버전으로 보이며, 2016년 9월 13일 컴파일된 세 번째 샘플은 OceanLotus가 실제 공격에서 배포한 Ratsnif의 초기 버전들 중 하나입니다.

Ratsnif가 타깃 기기에 설치되면, "onceinstance"라는 이름의 mutex를 실행하고 Winsock 버전 2.2를 초기화 후 수집한 시스템 정보를 C2로 전송합니다.

수집하는 시스템 정보로는 사용자 이름, 컴퓨터 이름, 워크스테이션 구성, 윈도우 시스템 경로, 네트워크 어댑터 정보 등입니다.

전문가들의 분석 결과 하나 이상의 C2 도메인이 하드코딩된 상태이지만, 이들 중 단 하나만이 활성화된 상태였다고 밝혔습니다.

Cylance가 분석한 2018년 변종은 통신을 위해 다른 악성코드를 피해자 호스트에 배포했습니다.

2016년 버전과 비교했을 때, 이 변종은 구성 파일을 사용하고 C2 작동에 의존하지 않습니다. 

또한 HTTP 인젝션, 프로토콜 파싱, SSL 하이재킹과 같은 형태의 새로운 기능들도 추가했습니다.

전문가들은 이전에 CyaSSL이라 알려진 wolfSSL 라이브러리 3.11 버전을 사용하여 해당 트래픽을 복호화할 수 있다는 사실을 발견했습니다.

이 악성코드는 구성 파일을 보호하지 않으며, 매개변수와 함께 Base64로 인코딩된 텍스트 파일입니다.

연구원들은 "dwn_ip" 파라미터를 파싱할 때, 구성 파일에 해당 값이 존재할 경우 메모리 읽기 위반을 유발하는 Ratsnif RAT 버그도 발견했습니다.

<이미지 출처: https://threatvector.cylance.com/en_us/home/threat-spotlight-ratsnif-new-network-vermin-from-oceanlotus.html>

Ratsnif가 제한된 배포를 통해 오랜 기간 동안 탐지되지 않은 채 활동했으나, 기능 개발을 확인할 수 있는 기회를 잡아 공격자가 악성 목적으로 도구를 제작하는 방식을 관찰할 수 있었습니다.

전문가는 모든 샘플이 오픈소스 코드/스니펫을 많이 차용했지만, 전체적인 개발 품질은 떨어진다며, 이는 OceanLotus에서 관찰할 수 있는 높은 수준을 만족시키지 못하는 것이라고 전했습니다.

현재 알약에서는 해당 악성코드에 대해 'Trojan.Agent.Ratsnif, Trojan.Cometer'으로 탐지 중에 있습니다.

출처:

https://securityaffairs.co/wordpress/87836/apt/ratsnif-rat-oceanlotus-ops.html

https://threatvector.cylance.com/en_us/home/threat-spotlight-ratsnif-new-network-vermin-from-oceanlotus.html