Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향USAID 피싱에 4개의 새로운 악성코드를 사용한 러시아 해커들
작성일 2021-05-31 조회 96

마이크로소프트는 러시아의 한 해킹 그룹이 최근 미국 국제개발청(USAID)을 사칭한 피싱 공격에 4개의 새로운 악성코드를 사용했다고 밝혔다.

 

미국 마이크로소프트(MSTIC)위협 정보센터(MSTIC)는 16일 밤 '노벨륨'으로 불리는 러시아 지원 해킹그룹 APT29가 USAID 연락처 계정을 훼손했다고 폭로했다.

 

이 합법적인 마케팅 계정을 사용하여, 위협 행위자들은 국제 개발, 인도주의, 인권 활동에 헌신하는 정부 기관과 조직을 포함하여 150개 이상 다른 조직에서 약 3000개의 이메일 계정에 보낸 피싱 이메일에서 USAID를 사칭했다.

 

Targeting phishing emails pretending to be from USAID

[그림 1. 피싱 메일]

 

금요일 밤 공개된 두 번째 블로그 게시물에서 마이크로 소프트는 Nobelium이 최근 공격에서 사용한 네 가지 새로운 악성코드에 대한 자세한 정보를 제공한다.

 

4가지 악성코드는 'EnvyScout' 라는 이름의 HTML 첨부 파일, 'BoomBox'로 알려진 다운로드 프로그램, 'NativeZone'으로 알려진 로더, 그리고 'VaporRage'라는 이름의 셸코드 다운로드 프로그램 및 런처 등이었다.

 

EnvyScout는 스피어 피싱 이메일에 사용되는 악성 HTML/JS 파일 첨부로 Windows 계정의 NTLM 자격 증명을 도용하려 하고 악의적인 ISO를 피해자의 기기에 드랍한다.

 

NV.html이라는 파일로 배포된 HTML파일이 열리면 file[:]//URL에서 이미지를 로드하려고 시도한다. 이 작업을 수행할 때 Windows는 로그인한 사용자의 Windows NTLM 자격 증명을 원격 사이트로 보낼 수 있으며, 공격자는 이 자격 증명을 캡쳐하여 일반 텍스트 암호를 공개할 수 있다.

 

Loading a remote image using the file:// URL

[그림 2. file://URL 을 사용하여 원격 이미지 로드]

 

마이크로소프트는 첨부 파일이 내장된 텍스트 blob을 NV.img로 저장된 악의적인 ISO로 변환하는데도 사용된다고 말한다.

 

NV.html attachment saving the ISO image

[그림 3. ISO 이미지를 저장하는 NV.html 첨부 파일]

 

마이크로소프트는 "이러한 감염 단계에서는 사용자가 다운로드한 ISO NV.img를 두 번 클릭하여 열 것으로 예상된다"고 설명한다.

 

ISO 이미지가 열리면 Windows는 사용자에게 Boombox 멀웨어 제품군의 일부인 숨겨진 BOOM[.]exe를 실행하는 NV라는 바로가기를 보여준다.

 

Contents of NV.img ISO file

[그림 4. NV.img ISO 파일의 내용]

 

보안 연구원인 Florian Roth는 같은 악성코드를 첨부해 벨기에 대사관에서 온 것처럼 가장한 또 다른 피싱 캠페인을 발견했다.

 

Phishing campaign impersonating the Embassy of Belgium

[그림 5. 벨기에 대사관을 사칭한 피싱 캠페인]

 

마이크로소프트는 ISO 이미지의 BOOM.exe 파일을 'BoomBox'로 추적하고 있으며, DropBox에서 감염된 장치에 암호화된 두 개의 악성 프로그램 파일을 다운로드 하는 데 사용한다고 명시하고 있다.

 

다운로드한 파일의 암호를 푼 후 BoomBox는 %AppData%MicrosoftNativeCacheNativeCacheSvc[.]dll 및 %Appdata%SystemCertificateCertPKIProvider[.]dll로 저장하고 rundll32[.]exe를 사용하여 파일을 실행한다.

 

NativeCacheSvc.dll은 사용자가 Windows에 로그인할 때 자동으로 실행되도록 구성되며 CertPKIProvider[.]dll을 실행하는 데 사용된다.

 

마지막 단계에서 BoomBox 악성코드는 윈도우 도메인에 대한 정보를 수집하고 수집된 데이터를 암호화한 다음 공격자의 통제 하에 원격 서버로 전송한다.

 

마이크로소프트는 "최종 정찰 단계로, 시스템이 도메인에 가입된경우 BoomBox는 LDAP조회를 실행하여 필터를 통해 모든 도메인 사용자의 고유 이름, SAM 계정 이름, 이메일, 표시 이름 등의 데이터를 수집한다"고 설명했다.

 

또한 마이크로소프트는 NativeCacheSvc[.]dll 파일을 NativeZone 이라는 새로운 악성 로더로 탐지한다.

 

사용자가 Windows에 로그인할 때 자동으로 시작하도록 BoomBox에 의해 이 악성 프로그램이 삭제되고 구성된다.

 

rundll32[.]dll을 통해 시작하면 마이크로소프트가 'VaporRage'로 탐지하는 CertPKIProvider[.]dll 악성코드를 실행한다.

 

멀웨어는 실행되면 원격 명령어 및 제어 서버에 다시 연결되며, 여기서 공격자에게 등록한 다음 원격 사이트에 반복적으로 다시 연결하여 셸코드를 다운로드 한다.

 

셸코드가 다운로드 되면 악성코드가 실행돼 코발트 스트라이크 비콘을 배치하는 등 다양한 악성 활동을 하게 된다.

 

한편, 이러한 공격의 배후에는 솔라윈즈 공급망 공격과 같은 그룹이 있는 것으로 추정된다.

 

출처

https://www.bleepingcomputer.com/news/security/microsoft-russian-hackers-used-4-new-malware-in-usaid-phishing/

첨부파일 첨부파일이 없습니다.
태그 EnvyScout  BoomBox  NativeZone  VaporRage