cyPark

트로이 목마에 의한 정보탈취로 안드로이드 기기 900만대 이상 정보탈취(21.11.25)

1.개요

Huawei AppGallery의 대규모 맬웨어 캠페인으로 인해 190개 이상의 다른 앱으로 가장한 Android 트로이 목마가 약 9,300,000개 설치되었습니다. 이 트로이 목마는 Dr.Web에 의해 'Android.Cynos.7.origin'으로 탐지되었으며 민감한 사용자 데이터를 수집하도록 설계된 Cynos 악성코드의 수정된 버전입니다. Android.Cynos.7.origin 트로이 목마가 내장된 AppGallery 카탈로그에서 수십 개의 게임을 발견했습니다. 이 트로이 목마는 사용자의 휴대폰 번호를 수집하도록 설계되었습니다. 최소 9,300,000명의 Android 기기 소유자가 이 위험한 게임을 설치했습니다.

Android.Cynos.7.origin은 Cynos 프로그램 모듈의 수정 사항 중 하나입니다. 이 모듈을 Android 앱에 통합하여 수익을 창출할 수 있습니다. 일부 버전에는 프리미엄 SMS 전송, 수신 SMS 차단, 추가 모듈 다운로드 및 실행, 다른 앱 다운로드 및 설치 등 매우 공격적인 기능이 있습니다. 멀웨어 분석가가 발견한 버전의 주요 기능은 사용자 및 장치에 대한 정보를 수집하고 광고를 표시하는 것입니다. Android.Cynos.7.origin이 포함된 앱은 사용자에게 전화 걸기 및 관리 권한을 요청합니다. 이를 통해 트로이 목마가 특정 데이터에 액세스할 수 있습니다.

사용자가 권한을 부여하면 트로이 목마는 다음 정보를 수집하여 원격 서버로 보냅니다.

• GPS 좌표 또는 모바일 네트워크 및 Wi-Fi 액세스 포인트 데이터를 기반으로 한 장치 위치(응용 프로그램에 위치 액세스 권한이 있는 경우)
• 네트워크 코드 및 모바일 국가 코드와 같은 다양한 모바일 네트워크 매개변수 또한 GSM 셀 ID 및 국제 GSM 위치 지역 코드(응용 프로그램에 위치 액세스 권한이 있는 경우)
• 장치의 다양한 기술 사양
• 트로이 목마 앱 메타데이터의 다양한 매개변수

언뜻 보기에 휴대폰 번호 유출은 사소한 문제처럼 보일수 있으나 실제로는 특히 어린이가 게임의 주요 대상이라는 사실을 감안할 때 사용자에게 심각한 피해를 줄 수 있습니다. 성인의 휴대폰 번호가 등록되어 있더라도 어린이용 게임을 다운로드하면 실제 휴대폰을 사용하는 사람이 어린이일 가능성이 높습니다. 부모가 전화에 대한 위의 데이터가 알려지지 않은 외국 서버뿐만 아니라 일반적으로 다른 사람에게 전송되기를 원할 것인지는 매우 의심스럽습니다.

시뮬레이터, 플랫포머, 아케이드, 전략 및 슈팅 게임과 같은 AppGallery의 190개 게임에서 Android.Cynos.7.origin을 찾았습니다. 9,300.000명 이상의 사용자가 이 게임을 다운로드했습니다(설치 수는 각 앱의 AppGallery에 나열된 다운로드 수를 기준으로 계산됨). 이러한 게임 중 일부는 러시아어 사용자를 대상으로 합니다. 러시아어 현지화, 제목 및 설명이 있습니다. 다른 사람들은 중국인 또는 국제 청중을 대상으로 합니다. 아래는 이 트로이 목마가 포함된 게임의 예를 보여줍니다.

이 Cynos 트로이 목마 변종의 기능은 SMS 텍스트를 감시하고 다른 페이로드를 다운로드 및 설치하는 등 다양한 악의적인 활동을 수행할 수 있습니다. 이러한 앱으로 인해 유료 서비스에 가입하게 되어 예상치 못한 요금이 부과될 수 있으며, 이들은 더욱 은밀한 스파이웨어 페이로드를 드롭할 수도 있습니다. 악성 트로이목마 기능을 수행하는 악성 앱 설치 및 관련 페이지에 접속하지 않도록 주의해야 한다.

2.공격 침해지표(IoC) 및 대응

악성 HASH

32cddb97ea43abea7038c32943eaa9261b0960b7
cb937b3451084f6d2234141e6ce99cddd3793b82
b6c4c01c309533735c4667854a28ad850471d2ae
1b72cf9c2cc8bb9af967d450c23cc5f8bd2c4698
2ab5263be3b11a343744cc46552ee770ea977f9a
dd2f7b303c80aee38c71bcbf7dd62dd57ea5fcd1
c42b5e86ee2d1c01fb210566d296a016ce31ef57
a0cb1232a1bcff9a16ea0a409f42b7ed6dab8aae
e8bd8be32ed3aebe83ab17f64bc96aa8cd62618c
ee21e5dc0bc9fd97a4f6b8f0f5600fb698005806
e4be4c31d4a086510a8228bdca0e912f9bd501ef
8a294c8557cdb00ce277a36a5fe5242de907894e
276fbd448ffa8071def70d6043c4a823093b0d0c
f70b2faa1f34ba0318bc4b08235f88ad7a0967cd
17c8331ff2fd450d2ab8c8c0dd2e6c2df306cb41
bef6cff2df62b4a5db8fa94149a66b12eb625096
37358755e8a65025662726eaedcd9138ac3dbd2a
5271c37c19c7a247c862c7112d7dea8db49ff046
cc6535e4e9e7e15ab25a3eefda7ddd59101ceb3d
470d7242731bb388965bbb5ff054a34784b50a16
bb86d27c4e6f2e7858eb59d41e0fd911afce085a

매칭되지 않은 HASH값(Virustotal)

f70f195fd9deffbde2ee812c93b327d07e18443f
fda4bc7b3883b3db3df13b0e1b07ad53bbe22a4d
e6024ce99966f4ecaff0efdae7781d9d448b2c79
e5ed0eda9513f41b5c9ebd7b14529180a4e5d822
d4c1b4b2a65279b768338f2c0d12b695572b101b
532b2d05f528ee68a1f89d02fa2477a8fac7c88b
fec03ced8741a8241fcb5f272ede566a634ba539
5599dfea0b274e4edbfdabad72d68e271b99e72d
f05119b12fc28aca89f48b5a939d6e1928c04bc6
7bf6516b2176363de9d7a7993445ede9f697260d
c4f1405bba22826a69e94ef20763cb664bc3b44c
c30291b34ec74128196612b0a80034424de2ea67
f56151b7fd4096f73574717075f6c08e32ff4765
fca6cb15168ac7b256da4bbb442cf93050981b61
78e48efac48d7ed9ea53a7a7df294da0a97de066
c80fee5ffccf9ce85ff15b7d085d700ae70aef98
4a4abab1e69ef629c1c622fd3be280c013e4e9fd
b860d5303d8921fed08c5e374483ac127ee2385e
b936c97eb91bf6071aa38ead5fb5b8ce11d9a0c1
38ab82696f45fdf52c04d3ba760e8b752b07df6d
a4dbe44e0cbef5db32651050189848e9207e28ed
1a17dd8b6bb1a08ab53b2d096535d251a8d7a8cb
81ae7a0fac2f385b2984669356d92cf7e807fbb7
6c748786e3d18321b7e2f6c64b578ecb310d5b82
195bad41d7c0cee3a388ec072353e9b62c923c67
664e47cebb0464339d5e75efb4279c1fa86e131a
f57efc2ee390c43d42dde0e6dde81a2c5dd1958b
6cc4c02dc12afeadd1e1c41f5a55f9be35aeca72
18558dca2734d6b098d91d570e0ca13623e0a851
aa2f1784fe24b564fdeb577a340d439661db1571
79ddb48ac25eb392c9e92dc44d32bbc522e19fae
30abca107e63b3858bc661f27e2ab56ee3fbb471
cb7d260684c212c04c39bc96e6e7c4b91c62b516
cfc35d28dad612e515a5f90a91fc7b33bcf7d7d6
fac857b82698fbfe0703a589547b786a15550d30
8b92f9eb20ecec1b2ebb64ad182bc03978c7914c
dbda535b5f4b4ad0be5beff735a3d874fa928a83
38d90ca290c3e9f4b81d56827b1ae785c9acfd17
47318a439e6cab2f03533237554d54c20f7aebb7
0b04b58b75e3177955b018fafdf30ab85333a1f9
447ef6268110c38d2b877b24dd0aca64fb2a945d
b92a05e0f4272adde5a8027326f80a27bf33d082
47849d36529860621e0ee70b090394673e8ab318
ad7a2d73c7ab4617820ceb9275775985b0ea9338
562d32c7164f0eb03708cbbd95e05773eb7c9dd7
5631cb845fe82159d956e1706369b97f3c926895
761d1ddf7a1c154151fd1063e8bf0360fc55321b
faa4f1155864f9b608155a9f88d6f03dfd8a8210
9a812007f569919aafc9d3a2fd6a6ca1d74b6811
a3a35029a7117ed4f27ed75918c65751743d40d6
c4db10ee573129d137049fe91dec109dc8e2a5bc
10861b6024523a5565d6db7e368686389afeac1a
92fbf61b4a4b7f3abefd381a15843a34521eb6ed
db72c401cd93981689a982a1ee1d028aa451f8f4
daceb5776ba8bce6320854608e1a63ef6c2046ba
b1e59c622ee3379953e0127ab25a0a73cc508a06
a40beed049277026a0f0eb0d051c9defadca8f86
6de7ebf6a098b446dba0ac72e347dc4cc186d243
f01974eeeec43182b5a17f4753245389794b9e54
5136560049eb1740325494aa708937515cbc0668
f0d91494d8c6dce16e5e3ab2f5771e865d773e51
78d114cf22fffc67c744ee80ff133008a0397099
20470de1ef944de2a7918ca17002f33c9df177cd
f2643a0b517b51c7c18a3e6c853b736e6b0adf28
d5dc75912e039d95a5723f1d17fdd59fafb2e1ec
24105bc679bca09964593f768f334ca25a833a5e
2edd4fc0d2b7bc3ac7e56e74a3baf58f36272b85
394111215a381baef07ab43f7e343f9b4b451db2
582a02e0a5d98c2970a524f6ca97c13d8c4defc0
d294206a3760ea7c823d2b669dc76cd23a0781a2
d10a7da60bffee2786d570112fa5d6e0ca6c62da
587d0c9138a53b327afe69c090bf977757551bd3
b4c11c9c19e53285ab245da6529bb9adb1faedc4
b69c0291251be552c6c9ff8161abc0c5d7323c75
8d5f8c2f4ba3230fa927d497b9160294058658e5
553676688a6c0c4cde71ee2b2639ef4d14a29bd4
0cf0b20ab0664443e77ca3202d058b270b8dc2aa
77d9e5da03e66bf7d4fc96c55d5e1283f67e870d
0fa877a17adf054ad5dfb4df07a66954057417f2
f2742710a4d6aec0fddda234101159b4111fab3c
00f5d3e40216842c107456f81008b355175418bd
e7ad32238c612b3905ba4362f5e4c38b7cd8cbe6
391eed9c22041677d311f912212f6b49dd716980
64be16a6c0f829515f2049e6e5ab31b6200f4440
d99d8e5c70f867492e9908ddac09f43f7393266c
245778ef52e511ce3d317247a80f1f42c3160d66
ddd820fe425d143298e6a2d5358c000ef129b841
e6127854280c8ed57b02e31ae6b92691e721902e
0d5c4057b6a1e08d0b90158453a27fc3c4a5be43
84aaa479668304a8c886e110bb945980362edc72
6f9b0f0a0fae1e8da1b45c792565030832baac3d
1dc9041c623175e62b793499f877dcdbe6c7a02d
2f43b0a927c6127d8d1c3a920876b853c2b703ad
61776ecc091a7097162ea59f0d870d718052fb75
5a9211ccec1a1a2cf78a9af6ed6d2ee891994cf7
08126e7c6dbe785d9d7ab62f2682a62f8b629351
3c98fc7efe6685bf258fb592b268f97ecb04db72
fa259b2332c3df5b49bf39442e0a0823efda8103
892d2575d5780703ff537f14d9dbd99a9c8fc343
0418c85691260d9f5bf97da4287a20a94197d724
b5f60efdfe0f3ababb21a60165b9cf875760816b
d22dba8ed5cca602fcb3671fcd75bccf73893626
e121ac6bc76790ba5188985e4e6796059c706385
fedbbf0414a4c71d66cccabe52afcca3180a7c0b
bef0706efeebbd244aef756e7aefb2b3c3830eae
dcdcbed79aa270cdf65b857f940cc74c15157bf0
741fa91c2be3093e6edfc553a51038eceb0368ba
fc39865027a95e8a72fdef44dd5fcd879336bef8
8d86ca23d20d8185009b35e1ec66f130b99cc03a
b5f93f3162ebf4bfa2f60c38e1e0faceb9516c92
36366fb656378c21fc24651383a16e5e8f5937ed
626d2d93f70b55c5440ff49d641bfdec9cacd04b
0675e69a6ea1a212a2a93ef8a1fc8b1201d7ab89
a82f2fa8b97a864fa1cd701a4ff57b640ef5f6a0
d5e48f2d7127b8f90d268968367f2f51be1583a5
107c84e8727a42815d67b56ff7cdfb15d36ac06d
7ec611a45b59c9797416d0902a6ca5282487fe50
4ee80638496df3873bd10d5cd601e6deb475f5c1
0924d1455f80434dffa110d05fea6735f09c6e20
d8f274f22d55fc0a4d7a515b99a5991ca1deb6ff
e65dcb0e3ebb5b95fffb8d45f7145ce185f610e1
1ada19c422266ae7e29b1efb0e185c1d7d4762aa
bd4b2cb225c45ef1095892e4b4a136d4524a751c
e0a4240ee150654ac3976aaa135856a39bf26a8c
4a038648bf6b5f8f5fc3383f16465d799c9d987b
b02424c6e3b561c12526dc2fcc222c7ca03aeb4e
5d6e0071b7ec7dc1779a97c92ede41045afa89f0
9342d3d66b2098663d1b0698b663218f781156f6
6837238bdc8c1905c1cfbfec3ca39a8e586677cc
3379888d53fd51effd67ff9fbc2119d68d97eaf3
63148f90fb8e8079fadb3ce493674fe1cb190df2
6670503a1cf8b08e8929e711d3015899c89fd80a
5a192f3a6503ab550032023aec571d7ee6712c07
828e546a47bbb0d3736875f6a2ee00888e47df0b
eb047267a7f24b5747d382b16127a8fa01fda801
84f82cdee151a378799b1f932d1c858b06a0ae3b
b544cfa04bbc4c543dedba058612c15409a85c1f
372fb1d75294a7c410c5a1c56491bc87979f1839
cc2b9dcd658316f87f35dd75d03c1e3f1ab2a870
c84d75738aa2ddeaef76f4ca25dcb0679b1668c1
f3a2abc0b87efcdbb40baeed076272d921d8b7a9
6c432c9fcef93f885dde2ebe7229d4eff84a8514
2c73e62f29675ac96f49eadc2ec10351568bd3da
b7ba41e8b9916f760413b7246238ac541baf5335
b084b4415bd7e8662028c9f372b5a881b87283cf
66a582ab71624e06ee65b59ee2dcd9892c95dbf5
700d4672266d6f5d0389c160f7c51a0e2145b096
4dca550b503de2728db030f8cd92fbe889030f17
ed02f8a71a39667da7315155d924a12b0fc083cb
7d5dae3505c05374a520af127c285ea159d9d2bb
64eff308776e31534b07d0e03a530516e30fafa7
4900a43d29501a10d4d223ad5ed4e3188de1d630
ad94b5f60864ae7fc45465ad1d3572a7d11c39d3
8153376ecbb60c8533c11faee9435d0568c2e93a
14eb8161f37667260fe4946ad3ef4bbb3bb9fd28
0ff27de04098aaf0420f37e1c96f2770e399656b
98a6f3a393f2b0ab5a43662f6cdba1af89b431a1

다수 악성 HASH값이 탐지하지 않고 있어 신속한 업데이트가 필요하다. 이에 따라 침해지표의 악성HASH와 Virustotal에서 매칭되지 않은 HASH값에 대해서 분석 요청진행하였습니다.

3.출처

https://news.drweb.com/show/?i=14360&lng=en 

https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Cynos/README.adoc

RATDispenser: RAT를 은밀히 배포하는 JavaScript 로더(21.11.24)

1.개요

위협 행위자는 악성 멀웨어를 탐지되지 않고 은밀히 전달하는 방법을 항상 찾고 있습니다. 공격자가 RATDispenser라고 하는 회피형 JavaScript 로더를 사용하여 원격 액세스 트로이 목마(RAT) 및 정보 도용자를 배포하는 방법을 사용하여 공격합니다. RATDispenser는 보안 통제를 회피하고 악성코드를 전달하는 데 효과적인 공격입니다. JavaScript 맬웨어와 관련된 대부분의 공격과 마찬가지로 RATDispenser는 손상된 장치에 대한 제어를 설정하는 2차 맬웨어를 실행하기 전에 시스템에 초기 발판을 마련하는 데 사용됩니다. RATDispenser가 주로 드롭퍼로 사용되는 것으로 나타났습니다.

공격 체인

공격의 시작은 사용자가 악성 첨부 파일이 포함된 이메일을 받는 것으로 시작됩니다. 불분명한 주문에 대한 정보를 포함하는 것으로 추정되는 텍스트 파일로 가장한 JavaScript 파일(.js)을 보여주고 , 공격 대상 사용자가 파일을 두 번 클릭하기만 하더라도 맬웨어를 실행할 수 있습니다.

실행 가능한 전자메일 첨부파일 형식이 전자 메일 게이트웨이를 정상 통과하지 못하도록 차단하여 감염을 방지할 수 있습니다( 예: JavaScript 또는 VBScript). JavaScript 파일에 대한 기본 파일 처리기를 변경하거나 디지털 서명된 스크립트만 실행하도록 허용하거나 WSH(Windows Script Host)를 비활성화하여 맬웨어 실행을 중단하도록 관리해야 합니다.

악성코드가 실행되면 JavaScript는 런타임에 자신을 디코딩하고 cmd.exe를 사용하여 VBScript 파일을 %TEMP% 폴더에 씁니다. 이를 위해 cmd.exe 프로세스에 긴 연결 인수가 전달되며, 이 인수의 일부는 echo 함수를 사용하여 새 파일에 기록됩니다. 그 후 VBScript 파일이 실행되어 맬웨어 페이로드를 다운로드합니다. 성공적으로 다운로드되면 실행되고 VBScript 파일이 삭제시키는 방식으로 공격이 진행됩니다.

난독화

초기 JavaScript 다운로더는 난독화되어 있으며 여러 평가 기능을 포함합니다. 평가 호출 중 하나는 다른 함수에서 디코딩된 긴 문자열을 반환하는 함수입니다.

언뜻 복잡해 보이지만 간단한 교체 기능입니다. 먼저 전달된 인수가 새 변수에 저장되며, 임의의 수의 인수로 올바르게 작동하기 위해 이 방법이 수행됩니다. 다음으로 교체 작업이 초기 문자열에서 실행됩니다. JavaScript에서 replace 함수의 두 번째 인수는 대체 문자열을 반환하는 또 다른 함수 입니다. 이 경우 이 인라인 함수의 두 번째 인수는 정규식 {\d+} 와 일치하는 캡처 그룹입니다. 캡처 그룹은 10진수이므로 대체 문자열로 반환되는 인수 배열의 인덱스로 사용됩니다. 범위를 벗어난 인덱스 예외의 경우 이 함수는 일치하는 전체 문자열을 반환합니다. 이 문자열은 불일치를 처리하기 위해 구현되었을 가능성이 큽니다.

문자열을 디코딩하기 위해 세 개의 인수( A , u , F )가 함수에 전달됩니다. 디코딩된 문자열은 Base64로 인코딩되어 간단히 디코딩하여 더 자세히 분석할 수 있습니다. ActiveX 데이터 스트림 개체를 만들고 작성하면 시퀀스가 ​​디코딩되고 eval문을 사용하여 실행됩니다 . 새로 디코딩된 2단계 코드는 다음과 같습니다.

이 시퀀스에서 가장 주목할만한 부분은 다른 난독화 계층으로 사용되는 중첩 배열에 저장된 16진수 문자입니다. ActiveX 개체를 사용하여 셸 응용 프로그램 인스턴스가 생성되어 길고 연결된 인수를 전달합니다. & 문자 뒤에 줄 바꿈을 추가 하면 명령줄 인수를 읽을 수 있는 형식으로 다시 포맷할 수 있습니다.

명령줄 인수의 첫 번째 부분은 echo 함수를 사용하여 VBScript 파일에 줄을 쓰는 데 사용됩니다 . 그런 다음 이 파일이 실행되어 XMLHTTP 개체를 통해 다운로드됩니다. GET 요청에 대한 응답(맬웨어 페이로드)은 YVC.JAR 파일에 기록됩니다 . 그런 다음 VBScript 파일이 삭제됩니다. 그 후 cmd.exe 프로세스는 페이로드를 실행하기 전에 12초를 기다립니다.

멀웨어 페이로드

YARA Rule

rule js_RATDispenser : downloader
{
  meta:
    description = "JavaScript downloader resp. dropper delivering various RATs"
    author = "HP Threat Research @HPSecurity"
    filetype = "JavaScript"
    maltype = "Downloader"
    date = "2021-05-27" 

  strings:
    $a = /{(\d)}/

    $c1 = "/{(\\d+)}/g"
    $c2 = "eval"
    $c3 = "prototype"

    $d1 = "\\x61\\x64\\x6F\\x64\\x62\\x2E"
    $d2 = "\\x43\\x68\\x61\\x72\\x53\\x65\\x74"
    $d3 = "\\x54\\x79\\x70\\x65"

    $e1 = "adodb."
    $e2 = "CharSet"
    $e3 = "Type"

    $f1 = "arguments"
    $f2 = "this.replace"

  condition:
    #a > 50 and all of ($c*) and (any of ($d*) or any of ($e*)) and all of ($f*) and filesize < 2MB
}

지금까지 가장 자주 관찰된 맬웨어 패밀리는 STRRAT 및 WSHRAT가 있습니다. 2020년 중반에 처음 등장한 STRRAT은 원격 액세스, 자격 증명 도용 및 키로깅 기능을 갖춘 Java RAT입니다. Houdini라고도 하는 WSHRAT는 2013년에 처음 등장한 VBS RAT로 일반적인 RAT 기능도 갖추고 있습니다. AdWind, Formbook, Remcos 및 Panda Stealer는 약간 덜 일반적이었습니다. Panda Stealer는 2021년 4월에 처음 발견된 이 악성코드는 암호화폐 지갑을 노리는 새로운 악성코드입니다. Panda Stealer 샘플은 모두 텍스트 저장 사이트 paste.ee 에서 추가 페이로드를 다운로드하는 파일 없는 변종으로 확인되었습니다.

2.공격 침해지표(IoC) 및 대응

악성 URL

#PandaStealer
hxxps://paste[.]ee/r/ZnmM9
hxxps://paste[.]ee/r/R1fSl
hxxps://paste[.]ee/r/jeSec
hxxps://paste[.]ee/r/hRcus
hxxps://paste[.]ee/r/O6bFN
hxxps://paste[.]ee/r/Kcxxm

#Formbook
hxxp://195[.]133[.]40[.]98/files/new[.]exe
hxxp://185[.]219[.]133[.]122/svc[.]exe
hxxp://185[.]219[.]133[.]122/task[.]exe
hxxp://103[.]141[.]138[.]12/host[.]exe
hxxp://185[.]219[.]133[.]122/xamp/wa[.]exe

HASH(아래 링크참조)

https://github.com/hpthreatresearch/iocs/blob/main/ratdispenser/hashes.txt

위의 침해지표의 HASH값을 참조하여 미탐지되는 악성 파일에 대해 백신프로그램 차단조치 필요.

3.출처

https://threatresearch.ext.hp.com/javascript-malware-dispensing-rats-into-the-wild/?fbclid=IwAR299qAv4qs6kS5TT0qjrRHbOobro2tQ0_0J3LMv3xO4myAqm94TDX1gxFA# 

https://github.com/hpthreatresearch/iocs/tree/main/ratdispenser

마이크로 소프트, Exchange 서버의 취약점 패치 촉구(21.11.23)

1.개요

2.공격 침해지표(IoC) 및 대응

3.출처

내부 응답 체인 공격으로 해킹된 Microsoft Exchange 서버(21.11.22)

1.개요

ProxyShell 및 ProxyLogon 익스플로잇을 사용하여 Microsoft Exchange 서버를 해킹하고, 악성코드를 배포하고 도난당한 내부 응답 체인 이메일을 사용하여 탐지를 우회하는 공격 수행이 일어났습니다. 악성 이메일 캠페인을 수행할 때, 가장 어려운 부분은 사용자가 악성 프로그램 배포 첨부 파일에 연결되거나 포함된 파일을 열 수 있도록 사용자가 보낸 사람을 충분히 신뢰하도록 속이는 것입니다.

TrendMicro 연구원들은 피해자의 손상된 Microsoft Exchange 서버를 사용하여 회사 내부 사용자에게 악성 이메일을 배포하는 흥미로운 전략을 발견했습니다. 이 공격의 배후에는 Qbot, IcedID, Cobalt Strike 및 SquirrelWaffle 페이로드 등 악성코드를 유포하는 악성 첨부 파일이 포함된 이메일을 배포하는 알려진 위협 행위자인 'TR'이 있는 것으로 추정된다고 연구진들은 입장을 밝혔습니다.

기업 대상을 속여 악성 첨부 파일을 열도록 하는 방법으로 위협 행위자는 ProxyShell 및 ProxyLogon 취약점을 사용하여 Microsoft Exchange 서버를 공격합니다. 이후 공격자는 이러한 손상된 Exchange 서버를 사용하여 다양한 멀웨어를 설치하는 악성 문서에 대한 링크가 포함된 응답 체인 공격에서 회사 내부 이메일에 회신한다. Trend Micro 보고서에 따르면 "같은 침입으로 수신된 악성 이메일에 대한 이메일 헤더를 분석했으며 메일 경로가 내부(내부 교환 서버 3대의 우편함 사이)로, 이메일이 외부 발신인, 공개 메일 릴레이 또는 메시지 전송 에이전트(MTA)에서 유래되지 않았음을 표시했다"고 설명했습니다.

CVE-2021-26855: 사전 인증 프록시 취약점
이 SSRF(서버 측 요청 위조) 취약점은 Exchange 서버에 특수하게 조작된 웹 요청을 보내 위협 행위자가 액세스하도록 허용할 수 있습니다. 웹 요청에는 EWS(Exchange Web Services) API 끝점으로 향하는 XML 페이로드가 포함되어 있습니다. 요청시 특수하게 조작된 쿠키를 사용하여 인증을 우회하고 인증되지 않은 위협 행위자가 XML 페이로드에 인코딩된 EWS 요청을 실행하도록 허용한 다음 궁극적으로 피해자의 사서함에 대한 작업을 수행합니다. IIS 로그 분석에서 공격자가 공개적으로 사용 가능한 익스플로잇을 공격에 사용하는 것을 확인했습니다. 이 익스플로잇은 위협 행위자가 사용자 SID와 이메일을 얻을 수 있는 기능을 제공합니다. 그들은 대상의 이메일을 검색하고 다운로드할 수도 있습니다.

CVE-2021-34473: 사전 인증 경로 혼동
이 ProxyShell 취약점은 로그온 URL 정규화를 악용하며, 접미사가 autodiscover/autodiscover.json인 경우 로그온 이메일이 URL에서 제거됩니다. 이렇게 하면 Exchange 컴퓨터 계정(NT AUTHORITY\SYSTEM)과 동일한 액세스 권한이 임의의 백엔드 URL에 부여됩니다.

CVE-2021-34523: Exchange PowerShell 백엔드 권한 상승
Exchange에는 이메일을 읽고 보내는 데 사용할 수 있는 PowerShell 원격 기능이 있습니다. 사서함이 없기 때문에 NT AUTHORITY\SYSTEM에서 사용할 수 없습니다. 하지만, 이전 취약점을 통해 직접 접근하는 경우에는 Backend/PowerShell에 X-Rps-CAT 쿼리 스트링 파라미터를 제공할 수 있다. backend/PowerShell은 역직렬화되어 사용자 ID를 복원하는 데 사용됩니다. 따라서 로컬 관리자를 가장하여 PowerShell 명령을 실행하는 데 사용할 수 있습니다.

이러한 이메일은 동일한 내부 네트워크에서 시작되고 두 직원 간의 이전 논의의 연속인 것처럼 보이기 때문에 이메일이 합법적이고 안전하다는 더 큰 신뢰로 이어집니다. 이는 인간 수신자에게 효과적일 뿐만 아니라 대상 기업에서 사용하는 이메일 보호 시스템에 경보를 울리지 않는 데에도 탁월합니다. 

이메일로 제공되거나 연결된 첨부 파일은 수신자에게 보호된 파일을 보기 위해 '콘텐츠 활성화'를 지시하는 표준 악성 Microsoft Excel 템플릿을 이용합니다. 사용자가 콘텐츠를 활성화하면 악성 매크로가 실행되어 Qbot, Cobalt Strike, SquaretWaplle 또는 다른 악성코드와 같은 첨부파일에 의해 배포된 악성코드를 다운로드합니다.

2.공격 침해지표(IoC) 및 대응

악성 XLS 해시

4bcef200fb69f976240e7bc43ab3783dc195eac8b350e610ed2942a78c2ba568

악성 도멘인 & URL

aayomsolutions.co.in/etiste/quasnam[]-4966787
aparnashealthfoundation.aayom.com/quasisuscipit/totamet-4966787
hxxps://headlinepost.net/3AkrPbRj/x.html
hxxps://dongarza.com/gJW5ma382Z/x.html
hxxps://taketuitions.com/dTEOdMByori/j.html
hxxps://constructorachg.cl/eFSLb6eV/j.html,;
hxxps: //oel.tg/MSOFjh0EXRR8/j.html
hxxps://imprimija.com.br/BIt2Zlm3/y5.html
hxxp://stunningmax.com/JR3xNs7W7Wm1/y1.html
hxxps: //decinfo.com.br/s4hfZyv7NFEM/y9.html
hxxps: //omoaye.com.br/Z0U7Ivtd04b/r.html
hxxps: //mcdreamconcept.ng/9jFVONntA9x/r.html
hxxps://agoryum.com/lPLd50ViH4X9/r.html
hxxps://arancal.com/HgLCgCS3m/be.html
hxxps://iperdesk.com/JWqj8R2nt/be.html
hxxps://grandthum.co.in/9Z6DH5h5g/be.html

악성 IP

hxxp: //24[.]229[[.]150[.]54: 995 / t4
108[.]179[.]193[.]34
69[.]192[.]185[.]238
108[.][179[.]192[.]18
23[.]111[.]163[.]242

3.출처

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-in-internal-reply-chain-attacks/

https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html

북한 사이버 스파이가 맞춤형 악성코드로 정부 기관을 노린다(21.11.19)

1.개요

TA406그룹은 북한 사이버 해킹 그룹인 킴수키(Kimsuky)라는 이름으로 더 잘 알려져 있는데, 이 북한 위협 행위자는 다양한 보안 회사, 정부 기관 및 위협 연구원은 모두 고유한 프레임워크와 가시성을 사용하여 속성을 수행합니다. 주로 미국, 러시아, 중국의 인물들이 표적이며 조용히 크리덴셜을 수집히거나 정보를 훔쳐내는 활동이 주를 이룹니다. 그리고 이렇게 모은 정보를 활용해 금전적인 이득으로 전환하는데 이는 거의 모든 북한 해킹 그룹의 특징입니다.

피싱 캠페인을 수행하는 TA406 및 TA427 운영자자는 KST(GMT+9h)의 시간대를 기준으로 대략 오전 9시부터 오후 5시까지 진행하였습니다.

TA406이 보낸 피싱 이메일은 일반적으로 원자력 안전, 정치 및 한국 외교 정책에 대한 미끼를 사용하면서 고위 선출직 공무원을 대상으로 합니다.  메일 수령인에는 여러 정부 기관의 최고위 선출직 공무원, 컨설팅 회사의 직원, 국방, 법 집행, 경제 및 금융 관련 정부 기관, 이사회 및 고객 관계를 위한 일반 우편함 등이 포함되었습니다.

자격 증명을 수집하기 위해 피싱 캠페인을 수행할 때 TA406이 일반적으로 잘 알려진 서버를 가장하기 위해 정교한 방문 페이지를 생성하지 않는다는 점입니다. 대신 사용자의 자격 증명을 요청하는 브라우저 대화 상자를 표시하는 기본 HTTP 인증을 사용합니다. 피싱 이메일에는 운영자가 가장한 사람의 짧은 메시지, URL 및 서명이 포함되어 있었습니다.

기본 HTTP 인증 자격 증명 수집을 통해 C&C 서버는 먼저 HTTP 301 리디렉션으로 응답한 다음 401 Unauthorized로 응답합니다.

접속시 다음과 같이 기업 또는 개인 계정 자격 증명을 수집하기 위한 기본 로그인 프롬프트가 표시됩니다.

2021년 1월부터 TA406은 7z 아카이브로 이어지는 피싱 이메일을 통해 맬웨어 페이로드를 삭제하기 시작했습니다. 이러한 아카이브에는 .HTML 파일로 표시되는 이중 확장자를 가진 EXE 파일이 포함되어 있습니다. 파일을 열면 "Twitter Alarm"이라는 예약된 작업이 생성되어 15분마다 추가 페이로드를 삭제할 수 있습니다. 실행 시 EXE는 웹 브라우저에서 인프라에서 호스팅되는 합법적인 NK News 기사의 PDF 파일을 열어 피해자가 뉴스 사이트의 게시물을 읽고 있다고 생각하도록 속이려고 시도합니다. 2021년 6월, TA406은 'FatBoy'라는 사용자 지정 멀웨어를 배포하기 시작했으며, 피해자의 디스크에 HTML 첨부 파일로 떨어졌습니다.

이러한 각 첨부 파일에는 고유한 해시가 있으며 공격자와 통신하고 파일을 열 수 있는 수신자(IP 주소)를 알려주는 보이지 않는 iframe이 있습니다. FatBoy는 20분마다 C2에서 CAB 파일을 다운로드하는 것을 목적으로 하는 작은 1단계 멀웨어입니다. CAB 파일에는 정찰을 수행하고 HTTP POST 요청을 통해 정보를 추출하도록 설계된 VBS 스크립트를 실행하는 배치 스크립트(ball.bat)가 포함되어 있습니다.

다운로드된 악성코드는 합법적인 전자 거래 플랫폼인 MetaTrader 4 Manager로 가장한 맞춤형 Windows 키로거인 'YoreKey'입니다. YoreKey는 레지스트리 키를 만들고 해당 로그를 감염된 시스템에 일반 텍스트로 저장하여 지속성을 보장합니다. 키로거를 사용하면 위협 행위자가 장치를 사용할 때 사용자가 입력한 다른 로그인 자격 증명을 훔칠 수 있습니다.

TA406은 암호 도용 작업에도 참여하고 있으며 Proofpoint의 조사 결과에 따르면 약 222,000달러 상당의 최소 3.77 비트코인을 받았습니다. 이는 기부를 위해 NGO로 가장하거나 'Deioncube'라는 웹사이트를 통해 파일 디코딩/난독화 서비스 등 다양한 방법을 통해 이루어집니다.

TA406과 Kimsuky 해커가 수행하는 광범위한 악의적 활동으로 인해 우리는 그들이 북한 정부를 대신하여 추가 공격을 수행하는 것을 계속 지켜봐야 합니다. 북한 정부의 관심 기관을 대상으로 기업 자격 증명 도용 작업을 자주 수행할 것으로 예상됩니다. 이러한 공격에는 북한 정부가 사용할 수 있는 귀중한 정보를 훔치기 위해 미국 방산업체와 핵 연구 기관을 추가로 표적으로 삼는 것이 포함됩니다.

2.공격 침해지표(IoC) 및 대응

악성 도메인

acount-pro[.]club
acount-pro[.]live
anlysis-info[.]xyz
asia-studies[.]net
bignaver[.]com
carnegieinsider[.]com
change-pw[.]com
clonesec[.]us
cloudnaver[.]com
cloudocument[.]com
cloudsecurityservice[.]net
dailycloudservice[.]com
daumhelp[.]net
daum-protect[.]com
deioncube[.]biz
delivernaver[.]com
delivers-security[.]com
delivers-security[.]net
diplomatictraining[.]com
document-package[.]online
documentpackages[.]link
documentpackages[.]online
documentpackage[.]space
documentpackages[.]space
documentpackages[.]store
documentserver[.]site
down-error[.]com
download-apks[.]com
downloader-hanmail[.]net
download-live[.]com
emailnaver[.]com
globalcloudservices[.]org
gooapi[.]online
google-acount[.]com
goolg-e[.]com
goolge[.]space
govermentweb[.]site
help-master[.]online
helpnaver[.]host
helpnaver[.]link
helpnaver[.]online
help-naver[.]site
helpnaver[.]site
help-secure[.]info
hpronto-login[.]com
itamaraty[.]net
knowledgeofworld[.]org
lnfo-master[.]com
login-protect[.]club
login-protect[.]online
mail-master[.]online
mail[.]summitz[.]com
microsoft-pro[.]host
microsoft-pro[.]live
microsoft-pro[.]site
microsoft-pro[.]space
midsecurity[.]org
mid-service[.]com
mid-service[.]org
myethrvvallet[.]com
mysoftazure[.]com
naverhelp[.]com
naversecurity[.]us
nicnaver[.]com
nidnaver[.]host
nidnaver[.]press
nidnaver[.]site
nidnaver[.]store
noreply-cc[.]online
noreply-goolge[.]com
noreply-sec[.]online
noreply-yahoo[.]com
oaass-torrent[.]com
proattachfile[.]com
pronto-login[.]info
pw-change[.]com
resetpolicy[.]com
resetprofile[.]com
rfa[.]news
rnaii[.]com
rnail-inbox[.]com
rnailm[.]com
rnail-suport[.]site
rneail[.]com
secureaction[.]ru
securelevel[.]site
security-acount[.]info
securitycounci1report[.]org
security-delivers[.]com
securityforcastreport[.]com
security-lnfo[.]com
security-nid[.]space
security-pro[.]me
security-pro[.]online
securitysettings[.]info
seoulhobi[.]biz
servicenaver[.]com
servicenidnaver[.]com
sinoforecast[.]com
softfilemanage[.]com
ssidnaver[.]com
stategov[.]biz
support-info[.]network
unosa[.]org
voakorea[.]news
voakoreas[.]com
voipgoogle[.]com
vpsino[.]org
webofknowledg[.]com
xfindphoneloc[.]com
xn--mcrosoft-online-hic[.]com
0member-services[.]hol[.]es
attachdown[.]000webhostapp[.]com
attachdownload[.]000webhostapp[.]com
attachdownload[.]99on[.]com
dnsservice[.]esy[.]es
emailru[.]99on[.]com
firefox-plug[.]c1[.]biz
koryogroup[.]1apps[.]com
lookyes[.]c1[.]biz
north-korea[.]medianewsonline[.]com
online-manual[.]c1[.]biz
romanovawillkillyou[.]c1[.]biz
securitydownload[.]99on[.]com
silverlog[.]hol[.]es
softlay-ware[.]c1[.]biz
takemetoyouheart[.]c1[.]biz
taketodjnfnei898[.]c1[.]biz
taketodjnfnei898[.]ueuo[.]com
upsrv[.]16mb[.]com
vscode-plug[.]c1[.]biz
win10-ms[.]c1[.]biz
1006ieudneu[.]atwebpages[.]com
1995ieudneu[.]atwebpages[.]com

손상된 인프라
fd-com[.]fr
influencer[.]jvproduccionessv[.]com
mail[.]apm[.]co[.]kr
oaass[.]co[.]kr
rabadaun[.]com
simple[.]kswebdesign[.]eu
www[.]acl-medias[.]fr

SendGrid 호스트이름

u13448720[.]ct[.]sendgrid[.]net
u19402039[.]ct[.]sendgrid[.]net
u7747409[.]ct[.]sendgrid[.]net
u8253848[.]ct[.]sendgrid[.]net
u9810308[.]ct[.]sendgrid[.]net

이메일 전송지

222.118.183[.]131
192.109.119[.]6
108.177.235[.]226
108.62.12[.]11
212.114.52[.]227

YoreKey

de1d1931f2e821209f1508e4b7306e7eef296a42f21fe9784e22cf4670acd296
347fdbd435f044fb1209125b22aaac5a9d826cfe5e5d543b190dc904cdd371c3

키로거를 사용하여 위협 행위자가 장치를 사용할 때 사용자가 입력한 다른 로그인 자격 증명을 훔칠 수 있도록 하는 YoreKey 해시 VirusTotal 조회 결과, 안랩에서 미탐지되었습니다.

분석결과

3.출처

https://www.bleepingcomputer.com/news/security/north-korean-cyberspies-target-govt-officials-with-custom-malware/

https://www.proofpoint.com/us/blog/threat-insight/triple-threat-north-korea-aligned-ta406-scams-spies-and-steals

미얀마를 표적으로 삼아 Cobalt Strike로 도메인 프론팅 기술을 사용(21.11.18)

1.개요

2021년 9월 Cobalt Strike 비콘을 배포하기 위해 난독화된 Meterpreter 스테이저를 사용하는 악성 캠페인을 발견되었으며, 이를 바탕으로 미얀마 정부가 소유 및 운영하는 도메인인 Myanmar Digital News 네트워크를 비콘의 도메인 전선으로 사용했습니다. 적어도 2021년 8월부터 Meterpreter 스테이저와 Cobalt Strike 비컨의 조합을 사용하여 피해자의 엔드포인트에 존재를 설정하기 시작했습니다.

Cobalt Strike를 사용하면 행위자가 비콘의 트래픽을 형성하여 합법적인 트래픽 패턴을 모방할 수 있으며 그중 DNS 기반 필터링에서 트래픽을 숨기는 기술 중 하나인 도메인 프론팅이 사용되었습니다. 도메인 프론팅은 합법적이거나 평판이 좋은 도메인을 사용하여 방어자에게 탐지되지 않습니다. 악의적인 행위자는 다양한 CDN을 이용하여 공격자가 제어하는 ​​C2 호스트가 제공하는 콘텐츠로 콘텐츠를 제공하는 리디렉션을 설정할 수 있습니다. Meterpreter 스테이저를 사용하여 단계적 페이로드를 사용하여 비콘을 이용한 추가 공격에 사용될 것입니다. Cobalt Strike는 크라임웨어 및 APT 운영자가 가장 일반적으로 사용하는 공격 도구 중 하나이기 때문에 관리자는 지속적으로 네트워크 트래픽을 모니터링하여 Cobalt Strike 활동을 감지해야 합니다.

일반적으로 피해자 시스템에서 실행되고 반사 주입(Reflective Injection)을 통해 Cobalt Strike 비콘 DLL을 디코딩 및 실행하는 로더를 사용하여 공격합니다. 런타임 동안 여러 라이브러리를 로드하고 포함된 구성 파일에 따라 비콘 트래픽을 생성합니다. 구성 파일의 미얀마 정부 소유 도메인(www[.]mdn[.]gov[ .]mm) 사이트는 Cloudflare 콘텐츠 전송 네트워크 뒤에서 호스팅되며 실제 C2 트래픽은 비콘의 구성 데이터에 지정된 HTTP 호스트 헤더 정보를 기반으로 공격자가 제어하는 ​​서버 test[.]softlemon[.]net으로 리다이렉션됩니다. 공격자는 공격을 시작하기 전에 인프라와 도메인 프론팅 기능을 테스트하기 위해 구성을 변경했을 가능성이 크며, 비콘 구성 템플릿과 실제 C2 호스트 test[.]softlemon[.]net을 기반으로 샘플이 단일 액터에 의해 생성되었습니다.

2.공격 침해지표(IoC) 및 대응

IP

193[.]135[.]134[.]124

URL

hxxp://test[.]softlemon[.]net:8081/api/3
hxxp://test[.]softlemon[.]net/
tcp://test[.]softlemon[.]net:8080/
hxxps://193[.]135[.]134[.]124:8443
hxxp://193[.]135[.]134[.]124:8080
hxxp://193[.]135[.]134[.]124:8081

hxxp://dark-forest-002.president[.]workers[.]dev

HASH

658d550322cefa6efc51fbfd1a3e02839d1e519a20f8f17f01c534c0eaf36f27

e806e55713b9e46dc7896521ffb9a8b3abaa597147ea387ff2e93a2469546ba9

해당 침해지표 HASH조회결과 국내외 백신프로그램에서 탐지 및 차단하고 있으며, 유포지 C2서버 IP와 URL 정보에 대한 방화벽 접근을 차단시켜야 한다.

3.출처

https://blog.talosintelligence.com/2021/11/attackers-use-domain-fronting-technique.html

피싱메일 유포를 통한 Emotet 악성코드 공격(21.11.17)

1.개요

2021-11-15 월요일에 새로 부활한 Emotet 봇넷에서 세 가지 유형의 첨부 파일 중 하나가 포함된 일부 이메일을 발견되었다. Microsoft 엑셀 스프레드시트, Microsoft 워드 문서, Word 문서가 포함된 암호로 보호된 zip 파일 형태로 유포되며, 이 이메일은 모두 이전에 감염된 Windows 호스트에서 수집한 것으로 추정되는 훔친 이메일 체인의 데이터를 사용한 스푸핑된 회신이다.

위와 같이 피싱메일 유포공격을 진행하게 된다. 첨부되어 있는 zip파일안에 있는 악성 매크로가 포함된 워드파일이 존재한다. 사용자가 zip 암호를 입력하여 악의 악성 매크로가 있는 워드파일을 실행시켜 '콘텐츠 사용' 버튼을 클릭하게끔 유도시킨다.  콘텐츠 사용 버튼을 누르면, 내부에 존재하는 악성 VBA 매크로가 동작하게 된다. 악성 VBA 매크로는 난독화가 되어 있으며, cmd를 통해 powershell을 실행 및 7개의 URL 중 연결이 가능한 URL을 통해 Emotet 악성코드를 다운로드 시킬 수 있다.

다음과 같이 Emotet dll 다운로드 되어 피해 사용자 PC에 저장하게 된다. 출처가 불분명한 메일을 열거나 외부 파일을 함부로 사용하지 않도록 관리해야 한다. 

2.공격 침해지표(IoC) 및 대응

Emotet C2

51.75.33[.]120
51.159.35[.]157
81.0.236[.]93
94.177.248[.]64
92.207.181[.]106
109.75.64[.]100
163.172.50[.]82

첨부 악성문서파일 SHA256 해시값

7c5690577a49105db766faa999354e0e4128e902dd4b5337741e00e1305ced24
bd9b8fe173935ad51f14abc16ed6a5bf6ee92ec4f45fd2ae1154dd2f727fb245
f7a4da96129e9c9708a005ee28e4a46af092275af36e3afd63ff201633c70285
d95125b9b82df0734b6bc27c426d42dea895c642f2f6516132c80f896be6cf32
88b225f9e803e2509cc2b83c57ccd6ca8b6660448a75b125e02f0ac32f6aadb9
1abd14d498605654e20feb59b5927aa835e5c021cada80e8614e9438ac323601

Emotet dll SHA256 해시값

0b132c7214b87082ed1fc2427ba078c3b97cbbf217ca258e21638cab28824bfa
373398e4ae50ecb20840e6f8a458501437cfa8f7b75ad8a62a84d5c0d14d3e59
29de2e527f736d4be12b272fd8b246c96290c7379b6bc2d62c7c86ebf7f33cd4
632447a94c590b3733e2e6ed135a516428b0bd1e57a7d254d5357b52668b41f1
69efec4196d8a903de785ed404300b0bf9fce67b87746c0f3fc44a2bb9a638fc
9c345ee65032ec38e1a29bf6b645cde468e3ded2e87b0c9c4a93c517d465e70d
b95a6218777e110578fa017ac14b33bf968ca9c57af7e99bd5843b78813f46e0

매크로에 의해 생성된 악성 URL

hxxp://av-quiz[.]tk/wp-content/k6K/
hxxp://devanture[.]com[.]sg/wp-includes/XBByNUNWvIEvawb68/
hxxp://ranvipclub[.]net/pvhko/a/
hxxp://visteme[.]mx/shop/wp-admin/PP/
hxxps://goodtech.cetxlabs[.]com/content/5MfZPgP06/
hxxps://newsmag.danielolayinkas[.]com/content/nVgyRFrTE68Yd9s6/
hxxps://team.stagingapps[.]xyz/wp-content/aPIm2GsjA/

Virustotal 조회 결과 국내외 백신 프로그램에서 악성 첨부파일 및 dll 해시값에 대해 탐지하고 있다.

3.출처

https://isc.sans.edu/diary/28044

Emotet 악성코드, TrickBot 통해 봇넷 재구축 수행(21.11.16)

1.개요

Emotet 악성코드는 스팸 캠페인 및 악성 첨부파일을 이용해 악성코드를 유포하는 대표적인 악성코드입니다. Emotet은 감염된 장치를 사용하여 다른 스팸 캠페인을 수행하고 QakBot(Qbot) 및 Trickbot 악성 프로그램과 같은 다른 페이로드를 설치합니다. 이 페이로드안에 Ryuk, Conti, ProLock, Egregor 등을 포함한 많은 위협 행위자들에게 랜섬웨어를 배포하기 위한 초기 접근을 제공하는 목적으로 사용됩니다.

최근 여러 보안연구원들은 TrickBot 악성코드가 Emotet 악성코드를 감염된 장치에 드랍하는 것을 확인하였습니다. Emotet 연구그룹인 Cryptolaemus 연구진은 Emotet 봇넷이 스팸메일 활동이나 악성코드가 포함된 악성문서를 발견하지 못했다고 밝혔습니다. 이러한 스팸 활동 부족현상은 Emotet 인프라를 처음부터 재구축하고 향후 스팸 캠페인에서 새로운 리플라이 체인 이메일을 이미 기존에 감염된 피해자들로부터 탈취한 것으로 파악된다고 밝혔습니다. 이에 따라 새로운 Emotet 로더를 분석하진행하였습니다. 그 결과 현재까지 기존 3~4개의 커맨드 버퍼가 7개로 확대되었으며, 다운로드된 바이너리에 대한 다양한 실행 옵션이 있다고 Cryptolaemus 연구진이 밝혔습니다.

Advanced Intel의 Vitali Kreme 그룹도 새로운 Emotet 드로퍼를 분석을 진행하였으며 악성코드 봇넷의 재탄생은 랜섬웨어 감염 급증으로 이어질 가능성이 높다고 경고했습니다. 세계적으로 주요 랜섬웨어 작업을 부추기는 Emotet 악성코드 활동이 임박했다는 것을 보여주는 초기 신호라고 밝혔습니다.

악성코드 추적 비영리단체 Abuse.ch은 새로운 Emotet 봇넷이 활용하는 명령 및 제어 서버 목록을 공개하고 네트워크 보안 관리자에게 관련 IP 주소를 차단할 것을 강력히 권고했다. 새로운 Emotet 인프라는 246개가 넘는 감염된 장치들이 이미 명령 및 제어 서버 역할을 하면서 빠르게 성장하고 있다.

2.공격 침해지표(IoC) 및 대응

C&C IP

62.210.200[.]63
192.52.196[.]221
91.200.186[.]228
202.29.239[.]161
185.184.25[.]237
103.161.172[.]108
93.188.167[.]97
163.172.50[.]82
45.79.33[.]48
210.57.217[.]132
51.68.175[.]8
177.72.80[.]14
51.210.242[.]234
51.178.61[.]60
196.44.8[.]190
185.148.169[.]10
142.4.219[.]173
168.197.250[.]14
94.177.248[.]64
81.0.236[.]93
66.42.55[.]5
45.76.176[.]10
188.93.125[.]116
103.8.26[.]103
103.8.26[.]102

3.출처

https://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/

trickbot/https://feodotracker.abuse.ch/browse/emotet/