|
인도 외교 행사와 관련된 유럽 공무원을 표적으로 삼는 새로운 백도어 발견 분석팀 2024.03.07 |
|
|
SPIKEDWINE이라는 이전에 문서화되지 않은 위협 행위자가 WINELOADER라는 새로운 백도어를 사용하여 인도 외교 사절단과 함께 유럽 국가의 공무원을 표적으로 삼는 것이 관찰되었다.
공격자는 2024년 2월 2일 와인 시음회에 외교관을 초대하기 위해 인도 대사가 보낸 것으로 추정되는 이메일에 PDF 파일을 사용했다.
PDF 문서는 2024년 1월 30일 라트비아에서 VirusTotal에 업로드되었다.
그렇다고는 하지만, 같은 국가에서 업로드한 또 다른 유사한 PDF 파일이 발견됨으로써 적어도 2023년 7월 6일부터 이 캠페인이 활성화되었을 수 있음을 시사하는 증거가 있다.
이 공격의 특징은 매우 적은 규모와 악성 코드 및 명령 및 제어(C2) 인프라에 사용되는 고급 전술, 기법 및 절차(TTP)이다.
[그림 1. WINDLOADER 공격 흐름]
새로운 공격의 핵심은 설문지로 가장한 악성 링크가 포함된 PDF 파일로, 수신자가 참여하려면 설문지를 작성하도록 촉구한다.
링크를 클릭하면 난독화된 JavaScript 코드가 포함된 HTML 애플리케이션("wine.hta")이 동일한 도메인에서 WINELOADER를 포함하는 인코딩된 ZIP 아카이브를 검색할 수 있는 길을 열어준다.
이 악성코드는 C2 서버에서 모듈을 실행하고, 다른 DLL(동적 연결 라이브러리)에 자신을 삽입하고, 비콘 요청 사이의 절전 간격을 업데이트하도록 설계된 핵심 모듈로 구성되어 있다.
이 공격에서 주목할만한 측면은 C2를 위해 손상된 웹사이트를 사용하고 중간 페이로드를 호스팅한다는 것이다.
C2 서버는 특정 시간에 특정 유형의 요청에만 응답하여 공격을 더욱 회피하는 것으로 의심된다.
공격자는 메모리 포렌식과 자동화된 URL 스캐닝 솔루션을 회피하여 탐지되지 않도록 추가적인 노력을 기울였다.
출처: https://thehackernews.com/2024/02/new-backdoor-targeting-european.html |
