DeathStalker로 알려진 이 사이버 용병 단체는 최근 공격에 새로운 PowerShell 백도어를 사용하고 있다.
DeathStalker는 카스퍼스키가 발견한 고용 해킹그룹으로 2012년부터 로펌과 금융기관을 비롯해 전 세계 조직을 대상으로 하고 있다. 피해자 단체는 아르헨티나, 중국, 키프로스, 인도, 이스라엘, 레바논, 스위스, 러시아, 대만, 터키, 영국, 아랍에미리트(UAE)에 위치한 중소기업이다.
카스퍼스키 전문가들은 이 그룹이 7월 중순부터 사용해온 PowerPepper이라 불리는 알려지지 않았던 백도어를 확인했다.
PowerPeper는 원격으로 전송된 셸 명령을 실행할 수 있는 Windows in-memory PowerShell 백도어다. DeathStalker의 전통에 따라 마우스 움직임 감지, 고객의 MAC 주소 필터링, 검출된 바이러스 백신 제품에 따라 실행 흐름 조정 등 다양한 방법으로 탐지와 샌드박스 실행을 회피히려한다.
[그림1. DeathStalker]
파일리스 Windows implant는 지속적으로 개선되고 있으며, 운영자들이 셸 명령을 실행할 수 있게 해준다. 백도어는 여러 가지 트릭을 사용해 탐지를 회피하고, Cloudflare responders를 활용해 자사의 C2 서버와 통신하는 DoH(HTTPS)를 활용한다.
PowerPepper는 주로 미국, 유럽, 아시아의 법률 및 컨설팅 회사 공격에 사용되어 왔다.
전문가들은 C&C 통신은 암호화되어 있으며, Powersing 백도어와 동일한 AES 암호화를 구현하여 AES padding 모드와 기능 입력 형식에서 독특한 차이를 보인다는 점에 주목했다.
PowerPepper는 C2 서버를 정기적으로 폴링하여 새로운 명령을 실행하도록 하고, 이 메커니즘은 TXT 유형의 DNS 요청을 C&C 도메인 이름과 연결된 NS(Name Server)에 정기적으로 전송하여 차례로 명령을 전송함으로써 구현된다.
명령이 실행되면 악성 코드가 명령 실형 결과를 되돌려 보낸다.
Kaspersky 연구원은 "DNS C2 통신 로직 외에도 PowerPapper는 HTTPS를 통해 Python Backends에 성공적인 임플란트 시작 및 실행 흐름 오류를 신호한다"고 전했다.
Kaspersky는 Python Backends가 합법적인 호스팅 서비스 PythonAnywhere에서 호스팅되고 있다는 것을 발견했으며, 보안 회사는 그들을 제거하기 위해 서비스 제공업체와 협력했다.
PowerPeper 공격 체인은 스피어 피싱 메시지를 통해 배포된 무기화된 Word 문서를 통해 전달되고 있다.
악의적인 항목은 창 피싱 전자 메일 본문으로 삽입되거나 악의적인 링크에서 스피어 피싱 이메일로 다운로드된다. 전문가들은 2020년 7~11월 사이에 감염사슬이 조금씩 달라졌다고 지적했다.
일부 공격에서 위협 행위자들은 임플란트를 전달하기 위해 윈도우 바로 가기 파일을 사용했다.
DeathStalker가 사용한 새로운 백도어에 대한 추가적인 기술적 세부 사항은 카스퍼스키가 발표한 보고서에서 제공되며 타협 지표도 포함되어있다.
카스퍼스키는 "DeathStalker 위협은 누군가가 관심을 갖고 위협 행위자에게 전달한다면 세계의 어떤 기업이나 개인이 그들의 악의적인 활동의 표적이 될 수 있음을 보여주는 다양한 악성 프로그램 변종들에 대한 피해자 분석으로 분명히 우려의 원인이 된다"고 결론지었다.
출처
https://securityaffairs.co/wordpress/111945/hacking/deathstalker-powerpepper-backdoor.html
https://thehackernews.com/2020/12/hackers-for-hire-group-develops-new.html
