Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Cobalt Strike로 장치를 감염시키는 새로운 피싱 공격
작성일 2022-06-20 조회 3731

Matanbuchus 현재 감염 사슬

 

 

보안 연구원들은 손상된 기계에 Cobalt Strike 비콘을 떨어뜨리기 위해 Matanbuchus 악성코드를 전달하는 새로운 악성 스팸 캠페인을 발견했다.

 

Cobalt Strike는 위협 행위자들이 측면 이동 및 추가 페이로드를 떨어뜨리기 위해 자주 사용하는 침투 테스트 제품군이다.

 

Matanbuchus는 2021년 2월 다크 웹 광고에서 처음 발견된 악성코드 서비스화(MaaS) 프로젝트이다.

 

Palo Alto Networks의 Unit 42는 2021년 6월에 분석하고 운영 인프라의 광범위한 부분을 지도화했다. 

 

이 멀웨어의 기능에는 사용자 지정 PowerShell 명령 실행, 독립 실행 파일 활용, DLL 페이로드 로드, 태스크 스케줄 추가를 통한 지속성 설정 등이 있다.

 

위협 분석가인 Brad Duncan은 악성 프로그램의 샘플을 수집하여 실험실 환경에서 어떻게 작동하는지 조사했다.

 

현재 진행 중인 malspam 캠페인은 이전 이메일 대화에 답장하는 것처럼 가장하는 유인책을 사용하므로 제목 줄에 Re:가 있다.

 

전자 메일에는 새 ZIP 아카이브를 생성하는 HTML 파일이 들어 있는 ZIP 첨부 파일이 있다. 

 

이는 궁극적으로 Westeast Tech Consulting, Corporation을 위해 DigiCert에서 발급한 유효한 인증서로 디지털 서명된 MSI 패키지를 추출한다.

 

 

MSI 파일에 사용된 유효한 디지털 인증서

 

[그림 1. MSI 파일에 사용된 유효한 디지털 인증서]

 

 

MSI 설치 프로그램을 실행하면 Adobe Acrobat 글꼴 카탈로그 업데이트가 시작되어 오류 메시지로 끝나므로 공격 대상자가 뒤에서 발생한 작업으로부터 주의를 돌리게 된다.

 

백그라운드에서 두 개의 Matanbuchus DLL 페이로드(main.dll)가 두 개의 다른 위치에 떨어지며, 시스템 재부팅 후에도 지속성을 유지하기 위해 스케줄링된 작업이 생성되며, 명령 및 제어(C2) 서버와의 통신이 설정된다.

 

 

악성 네트워크 트래픽의 스냅샷

 

[그림 2. 악성 네트워크 트래픽 스냅샷]

 

 

마지막으로, Matanbuchus는 C2 서버에서 Cobalt Strike 페이로드를 로드하여 더 넓은 개발 잠재력으로의 길을 열어준다.

 

Cobalt Strike는 2022년 5월 23일 독일 보안 회사인 DCSO에 의해 처음 보고되었다. 

 

그들은 또한 Qakbot이 어떤 경우에 배달되었다는 것을 알아챘다.

 

흥미롭게도, 그 캠페인에서 MSI 파일에 사용된 디지털 서명은 다시 DigiCert에서 Advanced Access Services LTD로 발행된 유효한 서명이었다.

 

최근의 타협 지표를 위해, 방어자들은 진행 중인 캠페인에 대해 DCSO와 Execute Malware가 게시한 IoTC에 의해 수집된 지표를 확인할 수 있다.

 

위협 분석가는 또한 그의 웹사이트에 트래픽 샘플, 인공물, 예시, 그리고 타협 지표(IoCs)를 게시했다.

 

 

 

 

 

출처
https://www.bleepingcomputer.com/news/security/new-phishing-attack-infects-devices-with-cobalt-strike/

첨부파일 첨부파일이 없습니다.
태그 Cobalt Strike