러시아의 해킹 그룹, 새로운 Ceeloader 악성코드 사용해

Russian hacking group uses new stealthy Ceeloader malware

 

Novelium 해킹 그룹이 새로운 커스텀 "Ceeloader" 악성코드를 통해 클라우드 및 관리 서비스 제공업체를 노리는 방식으로 전 세계 정부 및 기업 네트워크를 계속해서 침해하고 있는 것으로 나타났습니다.

 

Novelium은 작년에 여러 미국 연방 기관을 해킹한 SolarWinds 공급망 공격을 실행한 공격자로 마이크로소프트에서 명명했습니다. 이 그룹은 보통 APT29, The Dukes, Cozy Bear로 알려진 러시아 외국 정보국(SVR)의 해킹 부서로 추측됩니다.

 

노벨리움은 커스텀 악성코드와 툴을 사용하는 수준 높은 해킹 그룹이지만, 여전히 연구원들이 공격을 분석할 수 있는 흔적을 남깁니다.

 

연구원들은 Mandiant의 새로운 보고서에서 이 활동을 통해 해당 해킹 그룹이 사용하는 전술, 기술 및 절차(TTP)와 "Ceeloader"라는 새로운 맞춤형 다운로더를 발견했다고 밝혔습니다.

 

또한 연구원들은 Novelium을 두 개의 별개 활동 클러스터인 UNC3004와 UNC2652로 나눕니다. 이는 Novelium이 협력 중인 별개의 해킹 그룹 2개일 수 있다는 의미입니다.

 

공급망 공격

 

Mandiant가 목격한 활동에 따르면, Nobelium은 다운스트림 고객의 네트워크 환경에 대한 초기 접근 권한을 얻기 위해 클라우드 제공업체와 MSP를 계속해서 침해하고 있습니다.

 

"최소 한 사례에서, 공격자는 로컬 VPN 계정을 식별하여 손상시키고 이 VPN 계정을 통해 시스템을 정찰하고 피해자 CSP의 환경 내에서 내부 리소스에 대한 추가 접근 권한을 얻었습니다. 이는 결국 내부 도메인 계정 해킹으로 이어졌습니다. "

 

이 해킹 그룹은 최소 다른 침해 사고 한 건을 통해 CRYPTBOT 패스워드 탈취 악성코드를 사용하여 피해자의 Microsoft 365 환경을 인증하는 데 사용되는 유효한 세션 토큰을 훔쳤습니다.

 

Novelium이 단일 환경 내에서 여러 계정을 해킹하고 별도의 기능에 각 계정을 사용하기 때문에, 노출 되더라도 전체 운영이 위험에 처하지는 않습니다.

 

연구원들은 아래와 같이 설명했습니다.

 

"공격자는 해킹된 권한 있는 계정을 활용하고 SMB, 원격 WMI, 원격 예약 작업 등록, PowerShell을 사용하여 피해자의 환경 내에서 명령을 실행합니다."

 

"공격자는 주로 프로토콜을 사용하여 정찰을 수행하고, 네트워크에 비콘(Cobalt Strike)을 배포하고, 크리덴셜 수집을 위해 기본 윈도우 명령을 실행했습니다."

 

새로운 커스텀 악성코드인 "Ceeloader"

 

Novelium은 네트워크에 대한 백도어 접근, 추가 악성코드 다운로드, 네트워크 추적, NTLM 크리덴셜 도용, 기타 악성 행위를 허용하는 커스텀 악성코드를 개발해 사용하는 것으로 유명합니다.

 

Mandiant는 C로 작성된 새로운 커스텀 다운로드인 "Ceeloader"를 발견했습니다. 이는 메모리에서 직접 셸코드 페이로드를 실행하도록 지원합니다.

 

악성코드는 난독화되어 있으며, 윈도우 API에 대한 호출을 대량의 정크 코드와 섞어 보안 소프트웨어의 탐지를 우회합니다.

 

Ceeloader는 HTTP를 통해 통신하는 반면 C2 응답은 CBC 모드에서 AES-256을 사용하여 복호화됩니다.

 

커스텀 Ceeloader 다운로더는 필요에 따라 Cobalt Strike 비콘에 의해 설치 및 실행되며, 윈도우가 시작될 때 자동으로 실행되지는 않습니다.

 

Novelium은 과거에 특히 Solarwinds 공격과 미국 국제 개발청(USAID)에 대한 피싱 공격에 수많은 커스텀 악성코드 변종을 사용해 왔습니다.

 

다양한 은폐 트릭

 

Nobelium은 공격을 추적하는 것을 막기 위해 주거 IP 주소(프록시), TOR, 가상 사설 서비스(VPS), 가상 사설 네트워크(VPN)을 사용하여 피해자의 환경에 접근합니다.

 

일부 사례에서, 연구원들은 Ceeloader가 메모리로 가져와 실행하는 2단계 페이로드를 호스팅하는 데 사용되는 해킹된 WordPress 사이트를 식별했습니다.

 

마지막으로, 공격자들은 피해자의 네트워크에 근접한 IP 주소를 가진 합법적인 Microsoft Azure 호스팅 시스템을 사용했습니다.

 

이러한 접근 방식을 사용할 경우 외부 활동과 내부 트래픽을 혼합하는 데 도움이 되기 때문에 공격이 탐지될 가능성이 적고 분석이 더욱 어려워집니다.

 

연구원들은 해커가 러시아와 관련된 문서를 빼돌렸다는 증거를 확인했기 때문에, Novelium의 주요 목적이 정보 수집일 것이라 경고했습니다.

 

 

 

  

출처:

https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/

https://www.mandiant.com/resources/russian-targeting-gov-business (IOC)