보안정보

글로벌 정보보안 리더 윈스
MoleNet 맬웨어DropBook 백도어SharpStage 백도어Molerats 그룹

해킹 그룹의 새로운 맬웨어가 Google 및 Facebook 서비스를 악용한다.

침해사고분석팀 2020.12.15

Molerats

 

Molerats 사이버 스파이 그룹은 최근 스피어 피싱 캠페인에서 Dropbox, Google Drive, Facebook을 사용하여 명령 및 제어 통신을 사용하고 도난당한 데이터를 저장하는 새로운 맬웨어를 사용하고 있다.

 

해커들은 적어도 2012년부터 활동해 왔으며 Gaza Cybergang이라는 더 큰 그룹의 저예산 부서로 간주된다.

 

 

2개의 백도어와 1개의 다운로더

 

Molerats 공격자는 최근 공격에 SharpStage와 DropBook이라는 두 개의 새로운 백도어와 이전에 등록되지 않은 MoleNet이라는 맬웨어 다운로더를 사용했다.

 

사이버 스파이 활동을 위해 설계된 이 맬웨어는 Dropbox와 Facebook 서비스를 사용하여 데이터를 훔치고 운영자의 지시를 받아 탐지 및 서비스 중단을 피하려고 한다. 두 백도어 모두 Dropbox를 구현하여 도난당한 데이터를 추출한다.

 

이번 공격은 중동지역(팔레스타인 영토, 아랍에미리트, 이집트, 터키)의 정치인이나 정부 관계자들에게 악성 문서를 다운로드하도록 유인하는 이메일로 시작된다.

 

새로운 맬웨어를 제공하는 캠페인의 미끼 중 하나는 최근 이스라엘 총리 Benjamin Netanyahu와 모하메드 사우디 왕세자 Mohammed bin Salman 간의 회담을 참조하는 PDF 파일이었다.

 

해당 문서는 내용 요약만 보여주며 수신자에게 전체 정보를 얻기 위해 Dropbox나 Google Drive에 저장된 암호로 보호된 압축 파일을 다운로드하도록 지시했다.

 

이 파일 중 두 개는 SharpStage와 DropBook 백도어였으며, 공격자가 다른 맬웨어를 다운로드하기 위해 제어하는 Dropbox 스토리지이다. 세번째는 또 다른 백도어인 Spark였는데, Molerats가 이전 캠페인에서도 사용했던 것이다.

 

 

[그림1. 공격 흐름-1]

 

 


Facebook을 통한 명령

 

Cybereason의 Nocturnus팀 기술 보고서에 따르면 파이썬 기반 DropBook 백도어는 Facebook과 Simplenote(iOS 용 메모 앱)의 가짜 계정을 통해서만 명령을 받기 때문에 Molerats의 기존 공격 방식과 구별된다.

 

해커들은 Facebook에 게시된 명령을 통해 백도어를 제어한다. Simplenote는 맬웨어가 Facebook에서 토큰을 검색할 수 없을 경우에 백업 역할을 한다.

 

 

[그림2. Facebook에 게시된 명령]

 

 

합법적인 서비스를 통해 명령을 수행하면 공격자와 맬웨어의 통신을 차단하는 것이 더욱 어려워진다.

 

DropBook의 기능은 설치된 프로그램 및 파일 이름 확인, Facebook 또는 Simplenote에서 수신한 셸 명령 실행, Dropbox에서 추가 페이로드 가져오기 및 실행 등이다.

 

연구원들은 DropBook와 JhoneRAT를 같은 개발자의 소행으로 보고 있다.

 

 

[그림2. 공격 흐름-2]

 

 

 

SharpStage 및 MoleNet

 

DropBook과 달리, SharpStage 백도어는 .NET으로 작성되었으며 기존의 C2 서버에 의존한다.

 

Cybereason은 10월 4일부터 11월 29일 사이에 컴파일 타임스탬프가 있는 세 가지 변형의 맬웨어를 발견했으며 모두 지속적으로 발전하고 있다.

 

모든 변형은 스크린샷 찍기, 임의 명령 실행(PowerShell, 명령줄, WMI 실행) 및 C2에서 수신한 데이터(payload, persistence module) 압축을 푸는 등 유사한 기능을 공유한다. 또한, SharpStage는 데이터 다운로드 및 추출을 위한 Dropbox API를 제공한다.

 

두 백도어 모두 아랍어를 사용하는 사용자를 대상으로 한다. 그들은 손상된 시스템에 아랍어가 설치되어 있는지 확인하는 코드를 사용한다. 이러한 방식으로 공격자는 관련성이 없는 개인의 시스템을 피할 수 있다고 Cybereason 연구원들은 지적했다.

 

 

[그림4. 공격 흐름-3]

 

 

Cybereason이 발견한 세 번째 맬웨어인 MoleNet은 WMI 명령을 실행하여 운영 체제 프로파일링, 디버거 확인, 명령줄에서 시스템 다시 시작, OS에 대한 세부 정보 업로드, 새 페이로드 가져오기 및 지속성 생성 등을 할 수 있다.

 

연구원들이 최근에 발견했지만 MoleNet은 최소 2019년부터 개발 중이며, 최소 2017년부터 사용 중인 인프라에 의존하고 있다.

 

Cybereason은 공격 체인, 인프라 및 공격자들이 과거에 사용했던 다른 맬웨어와의 연결을 포함하여 최근 캠페인에서 Molerats가 활용한 새로운 도구에 대한 포괄적인 세부 정보를 제공한다.

 

 

출처

https://www.bleepingcomputer.com/news/security/hacking-group-s-new-malware-abuses-google-and-facebook-services/
목록