상세 컨텐츠

본문 제목

정부의 지원을 받는 해커들, 커스텀 악성코드로 통신 업계 노려

국내외 보안동향

by 알약4 2021. 10. 19. 14:00

본문

 

 

State-backed hackers breach telcos with custom malware

 

이전에 알려지지 않은 정부의 후원을 받는 공격자가 새로운 툴 세트를 사용하여 남아시아의 통신 업체 및 IT 회사를 노리고 있는 것으로 나타났습니다.

 

Symantec의 연구원들은 해당 그룹을 발견 후 Harvester로 명명했습니다. 이 그룹의 목적은 IT, 통신, 정부 기관을 주로 노리는 고도의 타깃형 스파이 캠페인에서 정보를 수집하는 것입니다.

 

Harvester의 악성 툴은 이전에 실제 공격에서 발견된 적이 없기 때문에 이전에 알려지지 않았거나 연결되지 않은 새로운 공격자의 작업인 것으로 추정됩니다.

 

Symantec 연구원들은 이에 관해 아래와 같이 밝혔습니다.

 

"Harvester 그룹은 2021 6월 시작된 공격에 커스텀 악성코드와 공개적으로 사용 가능한 툴을 모두 사용하며, 가장 최근 활동은 2021 10월이었습니다. 공격 타깃 부문은 통신, 정부, IT를 포함합니다. 툴의 기능, 맞춤형 개발, 타깃으로 미루어볼 때 Harvester는 국가의 지원을 받는 해커로 추정됩니다.”

 

아래는 Harvester 운영자가 공격에 사용하는 툴에 대한 설명입니다.

 

Graphon 백도어 – C&C 활동에 Microsoft 인프라를 사용하는 커스텀 백도어

커스텀 다운로더 – C&C 활동에 Microsoft 인프라를 사용

커스텀 스크린샷  주기적으로 스크린샷을 파일에 기록

Cobalt Strike Beacon – C&C 활동에 CloudFront 인프라를 사용(Cobalt Strike는 명령을 실행하고, 다른 프로세스를 주입하고, 현재 프로세스를 승격하거나, 다른 프로세스를 가장하고, 파일을 업로드 및 다운로드하는 데 사용할 수 있음)

Metasploit – 권한 상승, 화면 캡처, 영구 백도어 설정 등을 포함하여 피해자 시스템에서 다양한 악의적인 목적으로 사용 가능한 모듈식 프레임워크

 

Symantec의 분석가는 초기 감염 경로를 파악할 수 없었지만, 악성 URL이 사용되었다는 증거가 있다고 밝혔습니다.

 

공격자는 Graphon을 통해 원격 접근 권한을 얻고, CloudFront Microsoft 인프라의 합법적인 네트워크 트래픽과 C2(명령 및 제어) 통신 활동을 통해 위장합니다.

 

흥미로운 점은 커스텀 다운로더의 작동하는 방식, 시스템에 필요한 파일 생성, 새 로드 포인트에 대한 레지스트리 값 추가, hxxps://usedust[.]com에서 임베디드 웹 브라우저를 여는 방식 등입니다.

 

이는 Graphon 백도어를 가져오는 지점으로 보이지만, 공격자는 URL을 미끼로 사용하여 혼란을 야기시킵니다.

 

커스텀 스크린샷 툴은 바탕화면에서 사진을 캡처하고 Graphon을 통해 추출되는 암호로 보호된 ZIP 압축파일에 저장합니다. ZIP은 일주일 동안 보관되며 이보다 오래된 것은 자동으로 삭제됩니다.

 

Symantec은 Harvester가 여전히 활동 중이며, 현재 대부분 아프가니스탄에 있는 조직을 노리고 있다고 경고했습니다.

 

연구원들은 새로운 그룹의 도구를 샘플링했음에도, 아직까지 공격을 특정 국가와 연관시킬 충분한 증거를 찾지 못했다고 밝혔습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/state-backed-hackers-breach-telcos-with-custom-malware/

관련글 더보기

댓글 영역