보안정보

글로벌 정보보안 리더 윈스
Snugy TriFivexHuntMicrosoft Exchange

Microsoft Exchange 공격으로 새로운 xHunt 백도어 공개돼

침해사고분석팀 2020.11.10

microsoft exchange server backdoor

 

쿠웨이트의 한 조직의 마이크로소프트 Exchange 서버에 대한 공격으로 인해 전에는 보지 못한 두 개의 Powershell 백도어가 발견되었다.

 

이 활동은 2018년에 처음 발견되었으며, 이전에 쿠웨이트 정부를 겨냥한 일련의 공격과 해운 및 운송 조직을 표적으로 하는 것으로 알려진 xHunt 그룹과 관련이 있다.

 

그러나 위반과 관련된 예약된 작업의 타임스탬프를 기반으로 2019년 8월 22일 또는 그 이전에 보다 최근에 관찰된 공격은 공격자들이 공격 도구들을 업데이트했음을 보여준다.

 

이번 공격에는 새로 발견된 두 개의 백도어가 동원됐다. 하나는 연구자들이 "TriFive"라고 불렀고, 다른 하나는 이전에 발견한 PowerShell 기반 백도어(CASHY200)의 변형이며, 그들은 "Snugy"라고 불렀다.

 

Palo Alto's 42팀 연구진은 "쿠웨이트 정부 기관의 손상된 Exchange 서버에 설치된 두 백도어 모두 C2 통신은 DNS 터널링 및 손상된 이메일 계정의 Deleted Items 폴더에 있는 초안을 사용하는 이메일 기반 채널을 위한 비밀 채널을 사용했다"고 말했다.

 

 

공격

 

연구원들은 위협 행위자들이 어떻게 Exchange 서버에 접속했는지에 아직 알 수 없다고 말했다.

 

해당 Exchange 서버는 인터넷 정보 서비스(IIS) 프로세스 w3wp.exe를 통해 의심스러운 명령을 실행했다.

 

서버를 조사한 결과, 수집된 로그의 날짜보다 훨씬 이전에 위협 행위자가 생성한 두 개의 스케줄링된 작업을 발견했는데, 이 두 작업 모두 악의적인 PowerShell 스크립트를 실행할 수 있었으며, 또한 위협 행위자들이 웹 셸을 설치하기 위해 이러한 PowerShell 스크립트 중 하나를 설치했는지 확인할 수는 없지만, 위협 행위자들이 로그 이전에 서버에 이미 접근한 것으로 보인다고 말했다.

 

문제가 된 두 가지 작업은 'ResolutionHosts'과 'ResolutionsHosts' 이다.

 

연구원들은 공격자들이 두 개의 PowerShell 스크립트를 반복적으로(30분마다 한 번씩, 5분마다 한 번씩) 실행했기 때문에 이 두 개의 스케줄링된 작업을 지속성 방법으로 사용한 것으로 보고 있다.

 

두 작업에 의해 실행된 명령은 두 개의 백도어 "splwow64.ps1" 및 "Office Integrator.ps1"을 실행하려고 시도한다.

 

연구원은 스크립트는 시스템의 두 개의 별도 폴더에 저장되었기 때문에 이는 두 백도어가 모두 발견되어 제거되는 것을 피하기 위한 시도일 것이라고 말했다.

 

 

TriFive 백도어

 

[그림 1. 삭제된 항목 폴더에서 TriFive 백도어로 명령을 실행하는 전자 메일 초안]

 

[그림 2. C2로 결과를 보내기 위해 TriFive 백도어에 의해 만들어진 Deleted Items 폴더의 이메일 초안]

 

첫 번째 백도어인 TriFive는 합법적인 사용자의 받은 편지함에 로그인하고 삭제된 이메일 폴더 내의 이메일 초안에서 PowerShell 스크립트를 가져와서 Exchange 서버에 대한 백도어 액세스를 제공한다.

 

연구진은 "TriFive 샘플은 대상 기관의 합법적인 계정 이름과 자격 증명을 사용했다"고 밝혔다.

 

이는 위협 행위자가 TriFive 백도어 설치 이전에 계정의 자격 증명을 훔쳤음을 나타낸다.

 

먼저 백도어에 명령을 내리기 위해 행위자는 동일한 합법적인 이메일 계정에 로그인하고 암호화된 base64 인코딩 형식의 명령을 포함하여 "555"라는 제목의 이메일 초안을 작성했다.

 

백도어 끝에서 PowerShell 스크립트는 손상된 Exchange 서버의 합법적인 이메일 계정에 로그인하고 "Deleted Items" 폴더에 "555" 제목의 이메일을 확인한다.

 

 

Snugy 백도어

 

다른 PowerShell 기반 백도어인 Snugy는 DNS 터널링 채널을 사용하여 손상된 서버에서 명령을 실행한다.

 

DNS 터널링은 위협 행위자가 DNS 프로토콜을 사용하여 데이터를 교환할 수 있도록 하며, 이를 통해 데이터를 자동으로 추출하거나 외부 악성 서버와 통신 채널을 구축할 수 있다.

 

위협 행위자들은 Snugy 백도어를 사용하여 시스템의 호스트 이름을 얻고 명령을 실행하며 결과를 추출했다.

 

연구원들은 손상된 서버에서 보낸 ping 요청을 통해 쿼리된 도메인을 얻을 수 있었다.

 

하위 도메인 내에서 유출된 데이터를 바탕으로, 행위자들이 ipconfig/all과 dir를 실행했었는지 확인할 수 있었다.

 

불행히도, 연구원들은 요청의 일부분만을 가지고 있어서 유출된 데이터가 잘렸고, 이는 행위자들이 관찰되지 않은 다른 명령들을 실행했을 가능성이 있다는 것을 암시한다.

 

연구자들은 Snugy와 이전에 발견된 CASHY200 백도어 사이에 다양한 코드가 중복되는 것도 발견했다.

 

연구자들은, 위협 행위자들이 쿠웨이트 단체에 지속적인 공격을 시작함에 따라 xHunt 캠페인이 계속되고 있다고 말했다.

 

 

출처
https://threatpost.com/microsoft-exchange-attack-xhunt-backdoors/161041/
https://securityaffairs.co/wordpress/110644/apt/xhunt-attackers-hit-microsoft-exchange.html
https://unit42.paloaltonetworks.com/xhunt-campaign-backdoors/
목록