미국의 컴퓨터 소매점을 노리는 새로운 SideWalk 백도어 발견

 

 

New SideWalk Backdoor Targets U.S.-based Computer Retail Business

 

주로 동아시아와 동남아시아의 기업을 공격하는 것으로 알려진 중국 APT 그룹의 최근 캠페인에서 미국에 기반을 둔 컴퓨터 소매 회사가 새롭게 발견된 SideWalk 백도어의 타깃이 되었습니다.

 

슬로바키아의 사이버 보안 회사인 ESET은 이 악성코드가 Winnti 그룹과 관련 있으며 SparklingGoblin이라는 이름을 사용하는 APT의 작업인 것으로 추정했습니다. 연구원들은 동일한 공격자가 2019년 사용한 또 다른 백도어인 Crosswalk와의 유사성을 발견했다고 밝혔습니다.

 

SparklingGoblin은 지난 2019년 처음으로 등장한 후 Spyder, ShadowPad로 알려진 백도어를 사용하여 홍콩의 대학을 타깃으로 여러 공격을 수행한 것으로 추측됩니다. 이후 ShadowPad는 최근 몇 년 간 중국의 공격자 다수가 선호하는 악성코드가 되었습니다.

 

지난 몇 년 동안 이 집단은 전 세계의 광범위한 조직을 공격했으며 특히 바레인, 캐나다, 조지아, 인도, 마카오, 싱가포르, 한국, 대만, 미국에 위치한 학술 기관을 집중적으로 노렸습니다. 해당 조직이 노린 다른 조직에는 미디어 회사, 종교 단체, 인터넷 상점 플랫폼, 컴퓨터 및 전자 제품 제조 업체, 지방 정부 등이 포함됩니다.

 

ESET의 연구원은 지난 화요일 보고서를 발표해 아래와 같이 언급했습니다.

 

“SideWalk는 C&C 서버에서 동적으로 추가 모듈을 로드할 수 있는 모듈형 백도어입니다. 이는 구글 문서를 데드 드롭 리졸버로, Cloudflare 워커를 C&C 서버로 사용합니다. 또한 프록시 뒤의 통신을 적절히 처리하는 것도 가능합니다.”

 

 

<이미지 출처 : https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/>

 

 

SideWalk은 .NET로더를 통해 배포되며 디스크에서 암호화된 셸 코드를 읽고, 프로세스 하울링 기법을 통해 이를 복호화해 합법적인 프로세스에 주입하는 방식을 사용합니다.

 

감염의 다음 단계에서 SideWalk는 C&C 서버와의 통신을 설정하고, 악성코드는 구글 문서에서 암호화된 IP 주소를 받아옵니다.

 

"복호화된 IP 주소는 80.85.155[.]80입니다. 해당 C&C 서버는 facebookint[.]com 도메인에 자체적으로 서명된 인증서를 사용합니다. 이 도메인은 마이크로소프트에서 BARIUM에 부여한 것으로, Winnti 그룹과 겹치는 부분이 있습니다. 이 IP 주소는 해당 악성코드가 처음으로 사용하는 IP 주소가 아니므로 대체 IP 주소로 간주됩니다."

 

SideWalk는 C&C 통신에 HTTPS 프로토콜을 사용하는 것 이외에도 서버에서 보낸 임의 플러그인을 로드하고, 실행 중인 프로세스에 대한 정보를 수집하고, 결과를 원격 서버로 다시 보내도록 설계되었습니다.

 

SideWalk는 Crosswalk 백도어의 배후에 있는 SparklingGoblin APT 그룹의 개발자와 동일 개발자의 작업일 가능성이 높으며, 실제로 많은 설계 구조 및 구현 정보를 공유합니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’ Trojan.GenericKD.46688936’으로 탐지 중입니다.

 

 

 

  

출처:

https://thehackernews.com/2021/08/new-sidewalk-backdoor-targets-us-based.html

https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/