Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향자신의 악성코드에 감염되는 사이버스파이
작성일 2022-01-11 조회 72

Cyberspies infect themselves

 

 

인도 연계 사이버간첩단체가 자체적으로 만든 원격접속 트로이목마(RAT)로 감염된 후 실수로 운영상황을 보안연구원에 노출했다.

 

이 단체는 적어도 2015년 12월부터 활동해 왔으며 복사 붙여넣기 코드의 사용으로 인해 PatchWork (일명 Droping Elephant, Chinastrats, Qilted Tiger) 해킹 그룹으로 추적되고 있다.

 

맬웨어바이트 연구소는 2021년 11월 말에서 12월 초 사이 PatchWork의 가장 최근 캠페인에서 파키스탄 당국을 사칭한 악의적인 RTF 문서를 사용하여 위협 행위자들이 Ragnatela라고 알려진 새로운 변형 RAT으로 대상을 감염시키는 것을 관찰했다.

 

Ragnatela RAT를 사용하면 위협 행위자들이 명령을 실행하고, 화면 스냅샷을 캡처하고, 키 입력을 기록하고, 중요한 파일과 실행 중인 앱 목록을 수집하고, 추가 페이로드를 배포하고, 파일을 업로드할 수 있다.

 

연구소 Threat Intelligence Team은 아이러니하게도 우리가 수집한 모든 정보는 위협 행위자가 자신의 RAT에 감염되어 자신의 컴퓨터와 가상 머신을 캡처한 키 입력과 스크린샷이 있었기에 가능했다고 설명했다.

 

PatchWork 운영자가 자체 개발 시스템을 RAT에 감염시켰다는 사실을 발견한 후, 연구원들은 테스트 및 웹 개발 및 이중 키보드 레이아웃(즉, 영어 및 인도어)을 사용하는 컴퓨터에서 VirtualBox와 VMware를 사용하여 이를 모니터링할 수 있었다.

 

 

PatchWork testing the Ragnatela RAT

 

[그림 1. Ragnatela RAT(Malwarebytes LABS) 테스트 패치워크]

 

 

이들의 작전을 관찰하는 동안 파키스탄 국방부와 여러 대학의 분자의학과 및 생물과학부의 교수진을 포함한 이 단체가 공격한 목표물에 대한 정보도 얻었다.

 

연구소는 위협 행위자 자신의 악성코드가 포착한 데이터 덕분에 사건의 배후를 밝힐 수 있었고 이 단체는 가상 머신과 VPN을 이용하여 그들의 희생자를 개발하고, 업데이트하고, 확인하는데 다른 동아시아 APT처럼 패치워크는 러시아나 북한 APT만큼 정교하지 않다고 덧붙였다.

 

PatchWork 운영자들은 이전에 2018년 3월 여러 스피어피싱 캠페인에서 악의적인 RTF 파일을 밀어넣어 피해자들의 시스템과 퀘이사(Quasar)를 손상시키는 동일한 전략을 사용하여 미국의 싱크탱크를 목표로 삼았다.

 

두 달 전인 2018년 1월, 그들은 인도 아대륙의 목표물에 대한 공격에서 BADNEWS 악성코드를 전달하는 무기화된 문서를 밀고 나가는 것이 관찰되었다. 그들은 2016년 5월 말 유럽 정부 기관의 직원들을 목표로 한 스피어 피싱 캠페인의 배후에 있었다.

 

 

 

 

 

출처
https://www.bleepingcomputer.com/news/security/oops-cyberspies-infect-themselves-with-their-own-malware/

첨부파일 첨부파일이 없습니다.
태그 Cyberspies