상세 컨텐츠

본문 제목

MS Exchange 서버 타깃 공격에 새로운 PlugX의 변종인 THOR 사용돼

국내외 보안동향

by 알약4 2021. 7. 29. 14:00

본문

 

 

Chinese cyberspies used a new PlugX variant, dubbed THOR, in attacks against MS Exchange Servers

 

동남아시아를 노리는 것으로 알려진 중국 연계 해커 그룹 TA416(Mustang Panda, HoneyMyte, PKPLUG)이 이전에 문서화되지 않은 PlugX의 변종을 배포하기 위해 마이크로소프트 익스체인지 서버의 취약점을 악용한 것으로 나타났습니다.

 

Palo Alto Networks Unit 42 팀의 연구원들은 이 새로운 PlugX 악성코드를 Thor라 명명했습니다. 또한 이 RAT이 해킹된 서버 중 한 곳에서 악용 후 툴(Post Exploitation Tool)로써 사용되었다고도 덧붙였습니다.

 

새롭게 발견된 변종은 핵심 코드를 변경했으며, 제작자는 해당 코드의 트레이드마크인 "PLUG" "THOR"로 변경했습니다.

 

해당 전문가들이 발견한 최초의 THOR 샘플은 20198월로 거슬러 올라갑니다. 또한 THOR 변종은 악성 페이로드를 전달하는 향상된 메커니즘을 포함한 새로운 기능을 구현했습니다.

 

또한 전문가들은 PlugX 명령 및 제어(C2) 인프라와 관련된 여러 샘플을 발견했습니다.

 

TA416은 안티바이러스 탐지를 피해 마이크로소프트 익스체인지 서버를 공격하기 위해 “living-off-the-land”로 알려진 기술을 사용했습니다.

 

연구원들이 조사한 공격에서, 해당 APT 그룹은 BITSAdmin과 같은 정식 실행파일을 활용해 공격자가 제어하는 GitHub 저장소에서 Aro.dat라는 이름의 무해한 파일을 다운로드합니다.

 

하지만 해당 파일을 분석한 결과 PlugX 페이로드가 암호화 및 압축되어 포함된 것으로 드러났습니다.

 

“Aro.dat은 탐지되지 않은 상태로 유지되며, 특정 로더의 도움 없이는 실행할 수 없도록 설계되었습니다. 이전 PlugX 변종과 마찬가지로, 코드 실행은 DLL 사이드 로딩으로 알려진 기술을 통해 이루어집니다. 정적 분석에 따르면, Aro.dat이 메모리에 로드되면 자체적으로 압축을 풀기 시작하고 C2 서버와의 통신을 시작합니다. Aro.dat은 실제로는 암호화 및 압축된 PlugX 페이로드입니다. Aro.dat 내 복호화 루틴은 복호화 키 다수 및 비트 시프트 작업을 포함한다는 점에서 이전 PlugX 변종의 복호화 루틴과 매우 유사합니다. 해독이 완료되면, 이는 윈도우 API RtlDecompressBuffer를 통해 윈도우 모듈(DLL)로 압축이 해제됩니다. 압축 알고리즘은 LZ 압축(COMPRESSION_FORMAT_LZNT1)입니다.”

 

Aro.dat 파일은 aross.dll, aro.exe, aro.dat과 같은 문자열 이름을 포함합니다.

 

Aro.exe는 윈도우 레지스트리 오류를 수정한다고 주장하는 무료 툴인 “ARO 2012 advanced repair and optimization tool”의 일부로 보입니다.

 

이 실행파일은 디지털 서명되어 있으며, 과거에는 이 파일이 PlugX 로더와 관련이 있으며 Aross.dll를 동적으로 로드하는 것으로 알려졌습니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/thor-plugx-variant/>

 

 

가장 최근 발견된 PlugX의 샘플 중 하나는 해킹된 시스템에서 모니터링, 업데이트, 상호작용을 진행할 수 있는 다양한 기능을 구현하는 플러그인이 포함되어 있습니다.

 

Palo Alto Networks에서 발행한 보고서에는 Unit 42 팀이 조사한 공격과 관련된 침해 지표(IoC) 또한 포함되어 있습니다. 연구원들은 연결된 PlugX 로더가 없이도 암호화된 PlugX 페이로드를 복호화하고 압축을 푸는 Python 스크립트도 공개했습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Backdoor.PlugX.A', 'Trojan.Agent.KerrDown', 'Trojan.Korplug.A', 'Trojan.DllHijacker'로 탐지 중입니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120636/malware/chinese-cyberspies-thor-rat.html

https://unit42.paloaltonetworks.com/thor-plugx-variant/

 

관련글 더보기

댓글 영역