DeathStalker cyber-mercenary group targets the financial sector
고용형 해커 그룹인 DeathStalker가 2012년부터 금융 기관과 법률 사무소 등을 공격해온 것으로 나타났습니다.
피해 조직은 아르헨티나, 중국, 키프로스, 인도, 이스라엘, 레바논, 스위스, 러시아, 대만, 터키, 영국, 아랍 에미리트에 위치한 중소 기업이었습니다.
이 APT 그룹은 타깃 조직을 해킹하기 위한 전술을 빠르게 진화시켰습니다.
Kaspersky는 아래와 같이 언급했습니다.
“DeathStalker는 금융 및 법률 회사를 노리는 것으로 보이는 독특한 공격 그룹입니다. 이 그룹은 금전적 이익을 위해 움직이지 않는 것으로 보입니다. 랜섬웨어를 배포하지도 않으며, 되팔기 위한 금융 정보를 훔치지도 않으며, 사이버 범죄 세계와 관련된 어떤 활동 유형에도 참여하지 않습니다.”
“이들의 목적은 비즈니스 관련 민감 정보를 수집하는 것입니다. 이로써 DeathStalker는 해킹 서비스를 제공하는 용병 그룹이거나, 금융계의 정보 브로커 활동을 하는 것으로 추측할 수 있었습니다.”
연구원들은 2018년부터 이 그룹의 활동을 모니터링해 왔습니다. 해당 그룹은 Powersing, Evilnum, Janicab을 포함한 많은 악성코드 변종을 사용했습니다. 카스퍼스키는 이 그룹이 최소 2012년부터 활동을 시작했을 것이라 추측했습니다.
DeathStalker 용병은 최근 공격에서 PowerShell 기반 임플란트인 Powersing을 사용했습니다. 이들은 악성 LNK 파일을 포함한 압축 파일을 첨부한 스피어피싱 메시지를 보냈습니다.
이 바로가기 파일을 클릭하면 복잡한 시퀀스가 실행되며 피해자의 컴퓨터에서 임의 코드가 실행됩니다.
공격자가 Powersing을 사용할 경우 주기적으로 C2에 스크린샷 캡쳐본을 전송하고, C&C에서 수신한 임의 PowerShell 스크립트를 실행할 수 있습니다. 또한 추가 툴을 설치하는 것도 가능합니다.
DeathStalker는 여러 공개 서비스 (Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress 등)를 데드드롭 리졸버(dead drop resolver)로 활용했습니다. 댓글, 설명, 공개 포스트, 사용자 프로필, 좋아요 등을 통해 데이터를 저장했습니다.
이들이 남긴 메시지는 아래와 같은 패턴을 따릅니다.
“My keyboard doesn’t work… [문자열].”
“Yo bro I sing [Base64로 암호화된 문자열] yeah”
Powersing은 드롭 리졸버에 연결하여 저장된 정보를 받아와 복호화한 후 IP 주소로 변환합니다. 이를 통해 악성코드는 실제 C&C 서버에 연결할 수 있습니다.
공격자는 신뢰성 높은 공개 서비스를 사용하여 백도어 통신을 합법적인 네트워크 트래픽 속에 숨길 수 있습니다. 전문가들은 Powersing 앰플란트를 2012년 처음 발견된 Janicab 악성코드 패밀리와 관련이 있다고 밝혔습니다.
이 두 패밀리는 동일한 감염 단계 및 VM MAC 주소 블랙리스트 목록을 사용합니다.
Janicab은 데드드롭 리졸버로 유튜브를 사용하며, Powersing에서 찾아볼 수 있는 모든 기능을 포함하고 있었습니다.
Evilnum은 ESET 연구원들이 2018년 처음 발견한 또 다른 악성코드 패밀리입니다. 이는 데드드롭 리졸버로 LNK 기반 감염 체인 및 GitHub을 사용합니다.
Evilnum은 PowerSing보다 더 많은 기능을 제공하며, 스크린샷을 캡쳐하는 것도 가능합니다.
연구원들은 Evilnum과 Janicab 또한 코드 일부가 동일하다는 사실을 발견했으며, 이로써 이 악성코드 패밀리 3개가 모두 관련이 있다고 추측할 수 있습니다.
DeathStalker 공격자는 최근 코로나 19를 미끼로 사용하여 Janicab과 Powersing을 확산시켰습니다.
연구원들은 이 그룹이 여전히 새로운 무기를 개발하고 있다고 추측했습니다.
출처:
https://securityaffairs.co/wordpress/107532/cyber-warfare-2/deathstalker-hacking-group.html
https://securelist.com/deathstalker-mercenary-triumvirate/98177/
Qbot, 확산을 목적으로 피해자 이메일 스레드 훔쳐 (0) | 2020.08.28 |
---|---|
새로운 정보 탈취 악성코드 아누비스, 실제 공격 통해 배포돼 (0) | 2020.08.28 |
고용형 해커, 3DS MAX 익스플로잇 악용해 건축 사무소 노려 (0) | 2020.08.27 |
Apache 웹 서버 취약점 3개 발견 (0) | 2020.08.26 |
보안 연구원, 애플 패치 지연으로 사파리 취약점 직접 공개해 (0) | 2020.08.26 |
댓글 영역