포스팅 내용

국내외 보안동향

악성코드 확산을 위해 링크드인을 사용하는 새로운 APT34 캠페인 발견

New APT34 campaign uses LinkedIn to deliver fresh malware


보안 전문가들이 APT34 그룹(OilRig, HelixKitten, Greenbug)이 링크드인을 통해 유포 중인 새로운 스파이 캠페인을 발견했습니다. 


APT34 그룹의 멤버들은 케임브리지의 연구원으로 위장해 타깃 피해자들에게 그들의 소셜 네트워크에 가입하도록 요청했습니다.



<이미지 출처: https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html>

 


APT34는 이란 정부의 지원을 받는 것으로 알려진 APT 그룹으로 최소 2014년부터 활동해 왔습니다. 


이 그룹은 주로 미국 및 중동 국가의 금융, 정부, 에너지, 통신 및 화학 분야의 기업들을 타깃으로 삼았습니다.


전문가들에 따르면, 해커들은 케임브리지의 강사로 위장하여 피해자들에게 무기화된 악성 문서를 보내기 위해 그들의 소셜 네트워크에 가입할 것을 요청했습니다.


연구원들은 이 캠페인의 3가지 핵심 요소에 대해 설명했습니다.


1. 타깃 피해자들이 악성 문서를 열어보게끔 신뢰를 형성하기 위해 케임브리지 대학의 멤버로 위장

2. 악성 문서를 유포하기 위해 링크드인(LinkedIn)을 사용

3. 새로운 악성코드 패밀리 3개를 APT34의 무기로 추가


해커들은 이 악성 캠페인에서 APT34 캠페인에서만 사용된 브라우저 크리덴셜 탈취 툴인 Pickpocket 및 새로운 악성코드 패밀리 3개를 사용했습니다.


이 피싱 캠페인은 주로 에너지, 석유, 가스 분야 조직들 및 정부 기관들을 노렸습니다.


가짜 프로필에는 피해자들의 기기에 드로퍼 역할을 하는 무기화된 엑셀 파일인 "ERFT-Details.xls"를 열어 볼 것을 요청했습니다. 


해커는 케임브리지 대학의 연구원을 위장하여 피해자에게 링크드인 메시지를 보냈으며, 취직 기회를 알선해 주겠다며 이력서를 요청했습니다.


이번 캠페인에서 발견된 소셜 네트워크의 "신뢰"를 악용한 공격 기술은 새로운 것은 아니며, 다른 악성 캠페인의 사이버 스파이들도 좋아하는 공격 기술입니다.


이 캠페인에 사용된 악성코드는 TONEDEAF, VALUEVAULT, LONGWATCH로 추적됩니다.

 

Tonedeaf 악성코드는 HTTP GET, POST 요청을 통해 단일 C&C 서버와 통신하는 백도어입니다. 


이 악성코드는 시스템 정보 수집, 파일 업로드 및 다운로드, 임의의 셸 명령 실행을 지원합니다.


연구원들은 C2 도메인 확인 후, Pickpocket의 변종과 함께 ValueVault 및 Longwatch로 추적되는 다른 두 악성코드 패밀리를 발견했습니다.


ValueVault는 Cain & Abel 개발자인 Massimiliano Montoro의 Windows Vault Password Dumper 브라우저 크리덴셜 탈취 도구의 Golang 컴파일 버전입니다. 


Longwatch는 윈도우 temp 폴더의 log.txt 파일에 키보드 입력 결과를 저장하는 키로거입니다.


연구원들은 경계를 늦추지 말고 정보 보안을 위해 전체적으로 시스템 환경을 점검해야 한다고 경고했습니다.


현재 알약에서는 해당 악성코드에 대해 'Trojan.APosT.gen, Trojan.Downloader.XLS.gen, Trojan.PSW.Agent' 등으로 탐지 중에 있습니다.





출처:

https://securityaffairs.co/wordpress/88737/apt/apt34-cyberspionage-linkedin.html

https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html

티스토리 방명록 작성
name password homepage