이전에 악명 높은 ShadowPad 원격 액세스 트로이 목마(RAT)와 관련된 위협 그룹이 인기 있는 소프트웨어 패키지의 오래되고 오래된 버전을 사용하여 아시아의 여러 대상 정부 및 국방 조직에 속한 시스템에 악성 코드를 로드하는 것이 관찰되었습니다.
오래된 버전의 합법적인 소프트웨어를 사용하는 이유는 공격자가 동적 링크 라이브러리(DLL) 사이드로딩이라는 잘 알려진 방법을 사용하여 대상 시스템에서 악성 페이로드를 실행할 수 있기 때문입니다. 동일한 제품의 최신 버전은 기본적으로 공격자가 악성 DLL 파일을 합법적인 파일로 위장하고 애플리케이션이 자동으로 파일을 로드하고 실행하는 디렉터리에 넣는 공격 벡터로부터 보호합니다.
Broadcom Software의 Symantec Threat Hunter 팀 연구원들은 다음과 같은 현상을 관찰했습니다. 섀도우패드사이버 간첩 캠페인에서 전술을 사용하는 관련 위협 그룹. 이 그룹의 목표에는 지금까지 총리실, 금융 부문과 연결된 정부 기관, 정부 소유의 국방 및 항공 우주 기업, 국영 통신, IT 및 미디어 회사가 포함되었습니다. 보안 공급업체의 분석에 따르면 이 캠페인은 적어도 2021년 초부터 진행되었으며 인텔리전스가 주요 초점이었습니다.
잘 알려진 사이버 공격 전술이지만 성공했습니다.
“사용 DLL 사이드로딩을 용이하게 하는 합법적인 애플리케이션 시만텍은 이번 주 보고서에서 이 지역에서 활동하는 간첩 활동이 점점 더 늘어나고 있는 추세라고 밝혔습니다. 공격자가 사이드 로딩을 위해 오래된 애플리케이션을 사용했기 때문에 맬웨어 방지 도구가 악의적인 활동을 발견하지 못하는 경우가 많기 때문에 이는 매력적인 전술입니다.
“신청 기간을 제외하고 또 다른 공통점은 모두 상대적으로 잘 알려진 이름이어서 무해해 보일 수 있다는 것입니다.” 시만텍 위협 추적팀의 위협 인텔리전스 분석가인 Alan Neville은 이렇게 말합니다.
현재 아시아에서 캠페인을 벌이고 있는 그룹이 이 전술을 잘 이해하고 있음에도 불구하고 이를 사용하고 있다는 사실은 이 기술이 어느 정도 성공을 거두고 있음을 시사한다고 시만텍은 말했습니다.
Neville은 자신의 회사에서 최근 위협 행위자가 미국이나 다른 곳에서 이러한 전술을 사용하는 것을 목격하지 못했다고 말했습니다. “이 기술은 주로 아시아 조직에 초점을 맞춘 공격자들이 사용합니다.”라고 그는 덧붙였습니다.
Neville은 최신 캠페인의 공격 대부분에서 위협 행위자가 합법적인 PsExec Windows 유틸리티를 사용했다고 말했습니다. 원격 시스템에서 프로그램 실행 사이드로딩을 수행하고 멀웨어를 배포합니다. 각각의 경우, 공격자는 이전에 합법적인 오래된 앱을 설치한 시스템을 이미 손상시켰습니다.
“[해당 프로그램]은 공격자가 악성 코드를 실행하려고 하는 손상된 각 컴퓨터에 설치되었습니다. 어떤 경우에는 동일한 피해자 네트워크에 있는 여러 대의 컴퓨터일 수도 있습니다.”라고 Neville은 말합니다. 다른 경우에도 시만텍은 악성 코드를 로드하기 위해 단일 시스템에 여러 개의 합법적인 애플리케이션을 배포하는 것을 관찰했다고 덧붙였습니다.
“그들은 보안 소프트웨어, 그래픽 소프트웨어, 웹 브라우저를 포함해 상당히 다양한 소프트웨어를 사용했습니다.”라고 그는 말합니다. 어떤 경우에는 공격자가 레거시 Windows XP OS의 합법적인 시스템 파일을 사용하여 공격을 활성화하는 것도 관찰되었습니다.
Logdatter, 다양한 악성 페이로드
악성 페이로드 중 하나는 공격자가 키 입력을 기록하고, 스크린샷을 찍고, SQL 데이터베이스에 쿼리하고, 임의 코드를 삽입하고, 파일을 다운로드하는 등의 작업을 수행할 수 있는 Logdatter라는 새로운 정보 도용 도구입니다. 위협 행위자가 아시아 캠페인에서 사용하고 있는 다른 페이로드에는 PlugX 기반 트로이 목마, Trochilus 및 Quasar라고 불리는 두 개의 RAT, 그리고 몇 가지 합법적인 이중 사용 도구가 포함됩니다. 여기에는 침투 테스트 프레임워크인 Ladon, 피해자 환경 검색을 위한 FScan 및 NBTscan이 포함됩니다.
Neville은 시만텍이 위협 행위자가 대상 환경에 대한 초기 액세스 권한을 어떻게 얻을 수 있는지 확실하게 판단할 수 없다고 말했습니다. 그러나 패치되지 않은 시스템에 대한 피싱 및 기회 타겟팅은 벡터일 가능성이 높습니다.
“또는 소프트웨어 공급망 공격은 ShadowPad에 액세스할 수 있는 행위자가 공격자의 권한을 벗어나지 않습니다. 공급망 공격을 시작한 것으로 알려져 있습니다. 과거에는요.”라고 Neville은 말합니다. 위협 행위자가 환경에 액세스하면 NBTScan, TCPing, FastReverseProxy 및 Fscan과 같은 다양한 검색 도구를 사용하여 표적으로 삼을 다른 시스템을 찾는 경향이 있습니다.
이러한 종류의 공격을 방어하려면 조직은 네트워크에서 실행 중인 소프트웨어를 감사하고 제어하는 메커니즘을 구현해야 합니다. 또한 화이트리스트에 포함된 애플리케이션만 환경에서 실행되도록 허용하고 공개 애플리케이션의 취약점 패치에 우선순위를 두는 정책 구현을 고려해야 합니다.
Neville은 "또한 손상 징후가 보이는 기계를 청소하기 위해 즉각적인 조치를 취하는 것이 좋습니다. 사이클링 자격 증명을 포함하고 조직의 내부 프로세스에 따라 철저한 조사를 수행하는 것을 포함합니다."라고 조언합니다.
