‘Anomalous’ spyware stealing credentials in industrial firms
연구원들이 이메일 계정 크리덴셜을 도용하고 금융 사기를 저지르거나, 다른 행위자에게 재판매하는 것을 목표로 산업체를 노리는 스파이웨어 캠페인 다수를 발견했습니다.
공격자는 기성품 스파이웨어 툴을 사용하지만, 탐지를 피하기 위해 매우 제한된 시간 동안만 각 변종을 배포합니다.
공격에 사용된 상용 악성코드는 AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult, Lokibot 등이 있습니다.
비정상적인 공격
카스퍼스키는 이러한 스파이웨어 공격을 '변칙적'이라고 불렀습니다. 일반적인 다른 공격과는 다르게 수명이 매우 짧기 때문입니다.
대부분의 스파이웨어 캠페인은 몇 달 또는 몇 년 동안 지속되지만 해당 공격의 수명은 대략 25일로 제한됩니다.
<공격이 이루어진 기간>
해당 캠페인에서 공격받는 시스템의 수는 항상 100개 미만이며, 이 중 절반은 산업 환경에 배치된 ICS(통합 컴퓨터 시스템) 기계입니다.
또 다른 특이한 점은 공격자가 제어하는 C2 서버로 데이터를 유출하기 위해 SMTP 기반 통신 프로토콜을 사용한다는 것입니다.
대부분의 표준 스파이웨어 캠페인에서 C2 통신을 위해 사용하는 HTTPS와는 달리, SMTP는 데이터 도난만을 처리하는 단방향 채널입니다.
SMTP는 바이너리 또는 기타 텍스트가 아닌 파일을 가져올 수 없기 때문에 공격자가 흔히 사용하지는 않지만, 단순성 및 일반 네트워크 트래픽과 혼합할 수 있는 기능이 자주 사용됩니다.
추가 침투를 위한 크리덴셜 탈취
공격자들은 스피어 피싱을 통해 훔친 직원의 크리덴셜을 통해 회사 네트워크에 더욱 깊이 침투하고 측면으로 이동합니다.
또한, 이전 공격에서 해킹한 기업 사서함을 새로운 공격에 대한 C2 서버로 사용하기 때문에 악성 내부 통신의 탐지 및 플래그 지정이 매우 어렵습니다.
<동작 다이어그램>
"흥미롭게도, 기업의 안티스팸 기술은 공격자가 스팸 폴더에 있는 모든 쓰레기 이메일 사이에서 '보이지 않게' 하여 감염된 컴퓨터에서 훔친 크리덴셜을 빼내는 동안 눈에 띄지 않게 합니다."
분석가들은 최소 2,000개의 회사 이메일 계정이 임시 C2 서버로 악용되고, 다른 7,000개의 이메일 계정이 또 다른 방식으로 악용되는 것으로 확인했습니다.
다크웹 마켓에서 판매돼
이러한 캠페인에서 도난당한 이메일 RDP, SMTP, SSH, cPanel, VPN 계정 자격 증명 중 다수는 다크 웹 마켓플레이스에 게시되어 결국 다른 공격자에게 판매됩니다.
카스퍼스키의 통계 분석에 따르면, 이러한 불법 시장에서 판매되는 전체 RDP 계정의 약 3.9%가 산업체에 속합니다.
RDP(원격 데스크톱 프로토콜) 계정은 위험 신호를 발생시키지 않고 해킹된 시스템에 원격으로 접근하고 기기와 직접 상호 작용할 수 있기 때문에 사이버 범죄자에게는 매우 중요합니다.
일반적으로 이는 RDP 접근을 통해 파괴적인 악성코드를 배포하고자 하는 랜섬웨어 공격자의 관심을 유발시킵니다.
출처:
https://securelist.com/hunt-for-corporate-credentials-on-ics-networks/105545/
Molerats 해커들, 공개 클라우드 인프라 뒤에 새로운 스파이 공격 숨겨 (0) | 2022.01.24 |
---|---|
적십자, 정교한 사이버 공격 받아 사용자 데이터 유출돼 (0) | 2022.01.21 |
AlphV/BlackCat 랜섬웨어, 몽클레어에서 훔친 데이터 공개해 (0) | 2022.01.20 |
BHUNT 악성코드, 사용자의 암호화 지갑 및 패스워드 노려 (0) | 2022.01.20 |
유로폴, 범죄자가 자주 이용하는 VPN 서비스인 VPNLab 운영 중단 시켜 (0) | 2022.01.19 |
댓글 영역