명령 제어 위해 Gmail 사용하는 ComRAT 백도어 변종 발견

New Turla ComRAT backdoor uses Gmail for Command and Control

사이버 보안 연구원들이 Agent.BTZ로도 알려진 ComRAT 백도어의 새로운 버전을 발견했습니다. 

이 악성코드는 Turla APT 그룹의 과거 캠페인에서 사용된 적이 있습니다.

Agent.BTZ의 최신 버전은 2008년 중동의 미군 네트워크를 해킹하는데 사용되었습니다.

이 새로운 변종은 Gmail의 웹 인터페이스를 활용해 은밀히 명령을 수신하고 민감 데이터를 유출시킵니다.

ComRAT v4는 2017년 활동을 시작했으며, 아직 많은 공격자들이 사용하고 있습니다. 

이 새로운 변종은 최근 동유럽의 두 외무부와 코카서스 지역의 국회를 노린 공격에 사용되었습니다.

<이미지 출처: https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/>

이 새로운 버전은 처음부터 직접 개발되었으며, 이전 버전보다 훨씬 복잡합니다.

Snake, Uroburos, Waterbug, Venomous Bear, KRYPTON으로도 알려진 Turla APT 그룹은 최소 2007년부터 활동을 시작해 중동, 아시아, 유럽, 북미, 남미, 구 소련 지역의 외교 및 정부 기관, 민간 기업을 공격해 왔습니다.

이 그룹의 공격을 받은 피해자 수는 어마어마하며, 스위스 국방 회사인 RUAG, 미 국무부, 미 중앙 사령부 또한 포함됩니다.

ComRAT은 C++로 개발된 정교한 백도어로 감염된 기기에서 추가 페이로드를 실행하거나 파일을 추출하는 등 많은 악성 행위를 실행할 수 있습니다.

이 백도어는 FAT16으로 포맷된 가상 FAT16 파일 시스템을 사용하며, PowerStallion 파워 셸 백도어를 포함한 기존 방식을 통해 배포됩니다.

ComRAT은 아래 C2 채널을 활용합니다.

HTTP: ComRAT v3과 정확히 동일한 프로토콜 사용

Email: 명령을 수신하고 데이터를 유출하기 위해 Gmail 웹 인터페이스 사용

ComRAT v4의 새로운 컴포넌트는 아래와 같습니다.

오케스트레이터: explorer.exe 프로세스에 주입되어 ComRAT 기능 대부분을 제어하는데 사용됨

통신 모듈(DLL): 오케스트레이터가 기본 브라우저에 주입함. 네임드 파이프를 통해 오케스트레이터와 통신함

가상 FAT16 파일 시스템: 구성 및 로그 파일을 포함함

ComRAT의 주 용도는 기밀문서를 훔쳐 유출하는 것입니다. 

한 공격 사례에서는 운영자가 조직의 문서를 저장하고 있는 피해자의 중앙 MS SQL 서버 데이터베이스에 접근하기 위해 .NET 실행파일을 배포한 것을 발견했습니다.

탐지를 피하기 위해 오케스트레이터 DLL 및 지속성을 위한 예약 작업을 제외한 ComRAT 파일은 모두 가상 파일 시스템(VFS)에 저장됩니다. 

기본 VFS 컨테이너 파일은 처음 실행될 때 드롭되는 오케스트레이터 컴포넌트에 하드코딩 되어 있습니다.

C&C 메일 모드는 Gmail 이메일 제공자에 따라 달라집니다.

<이미지 출처: https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf>

오케스트레이터는 Gumbo HTML 파서를 통해 '/etc/transport/mail/mailboxes/0/command_addr'에서 받은 편지함 HTML 페이지를 파싱하여 이메일을 읽습니다.

그리고  '/etc/transport/mail/mailboxes/0/cookie'에서 Gmail 인증을 위한 쿠키를 찾아냅니다. 쿠키의 수명은 제한적이기 때문에 매번 업데이트되어야 합니다.

이 Gmail 파서는 VFS의 “subject.str” 파일과 이메일의 제목을 매칭시킵니다.

ComRAT 백도어는 위 조건을 만족하는 이메일의 첨부파일을 다운로드합니다. (예: “document.docx,” “documents.xlsx”) 

이후 두 번 처리하는 것을 방지하기 위해 해당 이메일을 삭제합니다.

이 첨부파일은 오피스 문서가 아니라 악성코드가 실행할 특정 명령어를 포함된 암호화된 데이터 덩어리입니다.

백도어는 해당 명령에 대한 결과를 포함하는 첨부파일을 만듭니다. 파일 이름은 랜덤 숫자 20개와 이중 확장자인 .jpg.bfe로 구성됩니다.

한 달 동안 이 명령이 전송된 시간을 확인해본 결과, 운영자는 UTC+3 또는 UTC+4 시간대를 사용하고 있음을 알아낼 수 있었습니다.

ComRAT v4는 2017년에 공개된 악성코드 패밀리를 완전히 개선했습니다.

가장 흥미로운 기능은 FAT16 포맷을 사용하는 가상 파일 시스템과 명령을 수신하고 데이터를 유출하기 위해 Gmail 웹 UI를 사용한다는 점입니다. 

악성 도메인을 사용하지 않기 때문에 일부 보안 제어를 우회할 수 있습니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Backdoor.Turla.A'으로 탐지 중에 있습니다.

출처:

https://securityaffairs.co/wordpress/103790/malware/turla-comrat-backdoor.html

https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/

https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf