|
하이재킹된 웹사이트를 이용하는 새로운 캠페인으로 돌아온 ObliqueRAT 침해사고분석팀 2021.03.04 |
|
|
이제 ObliqueRAT 캠페인의 사이버 공격자들은 하이재킹된 웹 사이트에서 무해한 이미지 파일로 트로이 목마를 위장하고 있다. 2020년 초에 발견된 ObliqueRAT 원격 액세스 트로이 목마(RAT)는 남아시아의 조직에 대한 공격으로 시작된다.
처음 발견되었을 때 멀웨어는 파일 유출, C2(Command-and-Control) 서버에 연결하는 기능 및 기존 프로세스를 종료하는 기능과 같이 데이터 도난에 중점을 둔 일반적인 트로이 목마의 핵심 기능을 갖추어 "단순한" RAT로 설명되었다.
또한 이 멀웨어는 사이버 보안 엔지니어가 리버스 엔지니어링 악성 코드 샘플에서 구현하는 일반적인 관행인 샌드 박스화된 대상임을 나타내는 단서를 확인할 수 있었다.
초기 발견 이후 ObliqueRAT은 새로운 기술 기능으로 업그레이드 되었으며 더 광범위한 초기 감염 벡터 세트를 활용한다.
Cisco Talos는 같은 구역에 RAT를 배치하도록 설계된 새로운 캠페인에서 피해자 시스템에서 악성 코드가 제공되는 방식이 변경됬다고 말했다.
이전에는 ObliqueRAT의 직접 배포로 이어지는 악성 매크로가 포함된 Microsoft Office 문서가 피싱 이메일을 통해 전송되었다.
그러나 이제 이러한 악성 문서는 이메일 보안 제어를 우회하기 위해 피해자를 악성 웹 사이트로 안내하고 있다.
이에는 스테가노그래피로 알려진 기술이 사용되는데 스테가노그래피는 파일 형식의 다른 콘텐츠 내에서 코드, 파일, 이미지 및 비디오 콘텐츠를 숨기는데 사용되며 이 예시로 연구원들은 악성 ObliqueRAT 페이로드를 포함하는 .BMP 파일을 발견했다.
위협 행위자에 의해 손상된 웹 사이트는 이러한 .BMP 파일을 호스팅하고 파일에는 합법적인 이미지 데이터가 포함되어 있지만 실행 가능한 바이트도 RGB 데이터에 숨겨져 있으며 이미지를 볼 때 ObliqueRAT가 포함된 .ZIP 파일의 다운로드를 트리거한다.
[그림1. 실행가능한 바이트 코드가 숨겨진 이미지파일]
연구원에 따르면 악성 문서에 포함된 악성 매크로는 아카이브 파일을 추출하고 대상 엔드 포인트 시스템에 트로이 목마를 배포한다.
[그림2. ObliqueRAT 확산]
총 4개의 새로운 버전의 멀웨어가 최근 발견되었으며 2020년 4월과 11월 사이에 개발된 것으로 보인다.
개선 사항에는 차단된 엔드 포인트 및 컴퓨터 이름에 대한 검사와 외부 저장소에서 파일을 추출하는 기능이 포함되며 아직 할당되지 않은 새 명령 프롬프트는 향후 추가 업데이트가 발생할 것임을 나타낸다.
또한 ObliqueRAT은 CrimsonRAT를 배포하는 캠페인과 연관되어있다.
국가가 후원하는 위협 그룹 Proofpoint는 이전에 사우디 아라비아와 카자흐스탄에있는 인도 대사관을 공격했다고 밝힌 .PDF파일에 대한 잠재적인 연결고리가 있고 C2 인프라의 유사점으로 보아 RevengeRAT 캠페인과 관련될 수도 있다.
출처 https://www.zdnet.com/article/obliquerat-trojan-now-hides-in-images-on-compromised-websites/ https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html |
