보안정보

글로벌 정보보안 리더 윈스

베트남과 연계된 Bismuth APT는 코인 채굴기를 활용해 감시망 유지

침해사고분석팀 2020.12.02


마이크로소프트(MS) 연구진은 베트남과 연계한 Bismuth 그룹인(일명 OceanLotus , Cobalt Kitty 또는 APT32 )가 사이버 스파이 활동을 계속하는 가운데 가상화폐 채굴기를 배포하고 있다고 전했다.

 


[그림1. Microsoft Security Intelligence Twitter]

 

가상화폐 채굴자는 일반적으로 재정적으로 동기가 부여된 공격과 관련이 있지만, Bismuth는 코인 채굴자가 유발하는 낮은 우선순위 경고를 이용하여 레이더에 남아 있는 지속성을 확립하려고 시도하고 있다.


해커들은 여러 산업에 걸쳐 있는 조직들을 목표로 삼았으며 외국 정부, 반체제 인사와 언론인들을 공격하기도 했다.


FireEye 전문가들은 적어도 2014년부터 베트남의 제조, 소비재, 접객업 분야에 관심이 있는 외국 법인을 대상으로 하는 APT32를 관찰했다. 또한, 그들은 주변 네트워크 보안 및 기술 인프라 기업, 외국인 투자자와 연계가 있을 수 있는 보안 기업을 대상으로 했다.


전문가들은 국가적 행위자들이 사이버 범죄 조직과 관련된 TTP를 채택하여 공격의 귀속을 어렵게 만들고 있다고 경고한다.


가상화폐 채굴기의 사용은 MS가 올해 여름 프랑스와 베트남의 조직에 대한 공격에 이들을 배포할 때 처음 관측됐다.


마이크로소프트는 2020년 7월부터 8월까지의 캠페인에서, 이 단체는 프랑스와 베트남의 민간 부문과 정부 기관 모두를 대상으로 한 공격에 모네로 코인 채굴기를 배치했다고 말했다. 그러면서 이 행위자의 운영 목표는 감시와 스파이 활동을 확립하고 표면화된 유용한 정보를 빼내는 등 그대로 유지되었지만, 최근 캠페인에서 코인 채굴기를 배치한 것은 공격자들이 손상된 네트워크를 수익화하는 또 다른 방법을 제공했다고 덧붙였다.


마이크로소프트에 따르면, APT 그룹은 암호화폐 채굴 악성코드를 사용하여 사내 내부 직원들을 속여서 그들의 공격이 높은 목표의 침입이 아니라고 믿게 하기 시작했다.


전문가들은 또한 Bismuth 해커들이 시스템 손상으로부터 수익을 창출하는 새로운 방법을 모색하고 있다고 추측했다.


최근 공격에서 킬 체인은 대상 조직당 특정 수신자 1명을 위해 특별히 제작된 스피어피싱 e-메일로 시작되는데, 이는 사전 정찰 결과로 얻은 표적에 대한 깊은 지식을 암시하는 정황이다.


어떤 경우에는 악의적인 첨부파일을 열어보라고 설득하기 위해 대상자들과도 연락을 취하기도 했다.


위협 행위자는 합법적인 DLL을 악의적인 DLL로 대체하여 관련 응용 프로그램이 실행될 때 로드되도록 하는 기술인 DLL side-loading을 많이 사용한다.


"BISMUTH는 DLL side-loading을 수행하기 위해 Microsoft Defender Antivirus를 비롯한 다양한 응용 프로그램의 구식 버전을 도입했다. 그들은 또한 Sysinternals DebugView 도구, McAfee 주문형 스캐너, Microsoft Word 2007을 활용했다.

 

[그림2. BISMUTH Attack Chain]

 


BISMUTH는 코인 채굴기를 배치하기 위해 먼저 .dat 파일을 삭제하고 rundll32.exe를 사용하여 파일을 로드했으며, 이 파일은 7za.exe라는 이름의 7zip 도구와 ZIP 파일의 복사본을 다운로드했다. 


그 후 해커들은 7-Zip을 사용하여 ZIP 파일에서 모네로 코인 채굴기를 추출했고, 채굴기를 일반적인 가상 머신 프로세스의 이름을 딴 서비스로 등록했다. 마이크로소프트는 이 그룹이 배치한 각각의 코인 채굴자가 공격 중에 1,000달러 이상을 벌어들인 독특한 지갑 주소를 가지고 있었다고 보고했다.


전문가들은 한때 교란 전략의 일환으로 코인 채굴기를 배치한 후 Bismuth가 그 후 상당 부분을 자격 증명 도용에 집중했다고 지적했다.


MSTIC(Microsoft Threat Intelligence Center)가 있는 Microsoft 365 Defender Threat Intelligence 팀은 MITRE ATT&CK 기법을 포함한 공격에 대한 기술적 세부 정보를 제공했다.

 

 

출처
https://securityaffairs.co/wordpress/111716/apt/bismuth-crypto-miners.html