|
악성 공격에 악용되는 미얀마 도메인 침해사고분석팀 2021.11.18 |
|
|
공격자가 제어하는 서버로 통신을 라우팅하기 위해 미얀마 정부가 소유한 합법적인 도메인을 활용하여 도메인 프론팅이라는 기술을 활용하는 악성 캠페인이 발견되었다.
2021년 9월에 관찰된 이 위협은 추가 공격을 시작하기 위한 발판으로 Cobalt Strike 페이로드를 배포했으며, 공격자는 Myanmar Digital News 네트워크와 연결된 도메인을 비콘의 프론트로 사용한다.
Cisco Talos 연구원은 "비콘이 시작되면 Cloudflare 인프라에 호스팅된 도메인에 대한 DNS 요청을 전송하고 HTTPs 요청 헤더를 수정하여 CDN이 트래픽을 공격자가 제어하는 호스트로 보내도록 지시합니다."라고 말했다.
Cobalt Strike는 네트워크에서 위협 행위자 활동을 에뮬레이트하는데 사용하는 인기 있는 소프트웨어지만 유틸리티가 실제로 이러한 공격을 수행함에 따라 공격자가 다양한 사후 공격을 수행할 수 있도록 하는 초기 액세스 페이로드로 사용되는 경우가 증가했다.
[그림1. Cobalt Strike 비콘 트래픽]
Talos가 관찰한 최신 캠페인에서는 비콘을 실행하면 피해자 시스템이 초기 DNS 요청을 해당 호스트로 보내는 반면 실제 명령 및 제어(C2) 트래픽은 공격자가 제어하는 호스트로 은밀하게 리디렉션된다.
이는 보안 솔루션의 탐지를 피하기 위해 합법적인 트래픽 패턴을 모방한 것으로 추측된다.
"기본 C2 도메인은 www[.]mdn[.]gov[.]mm으로 지정되었지만 비콘의 트래픽은 지정된 HTTP Get 및 POST 메타데이터를 통해 사실상 C2 test[.]softlemon[.]net으로 리디렉션되었습니다."라고 연구원들은 설명했다.
"초기 호스트에 대한 DNS 요청은 공격자가 도메인 프론팅을 사용하고 Cloudflare가 프록시하는 실제 C2 호스트 test[.]softlemon[.]net으로 트래픽을 보낼 수 있도록 하는 Cloudflare 소유 IP 주소로 확인됩니다."라고 덧붙였다.
그러나 연구원들에 따르면 C2 서버는 더 이상 작동하지 않으며 인터넷 정보 서비스(IIS)를 실행하는 Windows 서버라고 밝혔다.
연구원들은 "악의적인 서버와 대상 간의 리디렉션을 통해 도메인 프론팅을 달성할 수 있습니다. 악의적인 행위자가 다양한 CDN(콘텐츠 전송 네트워크)을 오용하여 공격자가 제어하는 C2 호스트가 제공하는 콘텐츠로 리디렉션을 설정할 수 있습니다"라고 말했다.
"잠재적인 도메인 프론딩 공격을 식별하기 위해 유명한 도메인에 대한 네트워크 트래픽을 모니터링해야 합니다."라고 결론지었다.
출처 https://thehackernews.com/2021/11/hackers-targeting-myanmar-use-domain.html |
