|
해커들은 일본의 산업 표적에 여러 개의 백도어를 이식하고 있다 침해사고분석팀 2021.04.01 |
|
|
사이버 보안 연구원들은 화요일에 일본에 위치한 여러 산업 분야의 정보를 빼내기 위한 목적으로 악성 백도어를 배포하는 정교한 캠페인의 세부 사항을 공개했다.
Kaspersky 연구원에 의해 "A41APT"라고 불리는 이 연구 결과는 SodaMaster, P8RAT, FYAnti와 같은 3개의 페이로드를 전달하기 위해 이전에 문서화되지 않은 맬웨어를 사용하여 APT10(일명 Stone Panda 또는 Cicada)에서 수행한 새로운 공격을 조사했다.
장기간 지속된 인텔리전스 수집 작전은 2019년 3월에 처음 등장했으며, 최근에는 2020년 11월에 전 세계 17개 이상의 지역에서 위협 행위자의 표적이 되는 일본 관련 기업에 대한 보고가 나왔을 때 활동이 포착되었다.
Kaspersky에서 발견한 새로운 공격은 2021년 1월 발생한 것으로 알려졌다. 감염 체인은 패치되지 않은 취약점 또는 도난된 자격 증명을 이용하여 SSL-VPN의 남용을 통해 초기 침입과 함께 다단계 공격 프로세스를 활용한다.
[그림1. 공격 프로세스]
캠페인의 중심은 4개의 파일을 사용하여 "파일리스 로더 모듈 4개를 차례로 로드하고 해독하여 최종적으로 메모리에 최종 페이로드를 로드하는 Ecipekac("Cake piece")이라고 불리는 맬웨어가 있다.
P8RAT와 SodaMaster의 주요 목적은 공격자가 제어하는 서버에서 검색된 페이로드를 다운로드하고 실행하는 것이지만, Kaspersky의 조사는 대상 Windows 시스템에서 제공되는 정확한 맬웨어에 대한 단서를 찾지 못했다.
흥미롭게도, 세 번째 페이로드인 FYANti는 두 개의 연속적인 레이어를 거쳐 QuasarRAT(또는 xRAT)로 알려진 최종 단계 원격 액세스 트로이 목마를 배치하는 다중 레이어 로더 모듈이다.
Kaspersky 연구원 Suguru Ishimaru는 "이번 캠페인의 운영과 삽입물은 은밀하게 진행되어 위협 행위자의 활동을 추적하기 어렵다. 주요 스텔스 기능은 파일리스 임플란트, 난독화, anti-VM 및 활동 트랙 제거이다."라고 말했다.
출처 https://thehackernews.com/2021/03/hackers-are-implanting-multiple.html |
