새롭게 떠오르는 사이버 간첩 위협 그룹이 "Stegmap"이라는 새로운 백도어로 중동과 아프리카의 목표물을 공격하고 있습니다. 스테 가노 그라피 호스팅된 이미지에서 악성 코드를 숨기는 기술.
최근 공격에서는 LookingFrog라고도 알려진 Witchetty라는 그룹이 도구 세트를 강화하고 정교한 회피 전술을 추가하며 알려진 Microsoft Exchange 취약점을 악용하는 것으로 나타났습니다. 프록시쉘 와 프록시 로그온. Symantec Threat Hunter의 연구원들은 공용 서버에 웹셸을 설치하고 자격 증명을 훔친 다음 네트워크 전체에 측면적으로 확산하여 악성 코드를 전파하는 그룹을 관찰한 것으로 나타났습니다. 블로그 게시물에서 29월 XNUMX일 발행.
2월부터 9월 사이의 공격에서 Witchetty는 앞서 언급한 벡터를 사용한 공격으로 중동 국가 두 국가의 정부와 아프리카 국가의 증권 거래소를 표적으로 삼았습니다.
ProxyShell은 세 가지 알려진 결함과 패치된 결함으로 구성되어 있습니다. CVE-2021-34473, CVE-2021-34523및 CVE-2021-31207 - 하는 동안 프록시 로그온 2개로 구성되어 있으며, CVE-2021-26855 와 CVE-2021-27065. 두 가지 모두 2021년 2020월과 XNUMX년 XNUMX월에 처음 공개된 이후 위협 행위자들에 의해 광범위하게 악용되었습니다. 많은 Exchange Server가 패치되지 않은 상태로 유지되는 공격은 지속됩니다.
또한 Witchetty의 최근 활동은 이 그룹이 탐지를 피하기 위해 이미지에 페이로드를 숨겨두는 은밀한 기술인 스테가노그래피를 사용하는 Stegmap이라는 새로운 백도어를 무기고에 추가했음을 보여줍니다.
Stegmap 백도어 작동 방식
최근 공격에서 Witchetty는 기존 도구를 계속 사용했지만 Stegmap을 추가하여 무기고를 강화했다고 연구원들은 말했습니다. 백도어는 스테가노그래피를 사용하여 비트맵 이미지에서 페이로드를 추출하고 이 기술을 활용하여 겉보기에 무해해 보이는 이미지 파일에서 악성 코드를 위장한다고 밝혔습니다.
이 도구는 DLL 로더를 사용하여 GitHub 저장소에서 이전 Microsoft Windows 로고로 보이는 비트맵 파일을 다운로드합니다. “그러나 페이로드는 파일 내에 숨겨져 있으며 XOR 키로 해독됩니다.”라고 연구원들은 게시물에서 말했습니다.
이러한 방식으로 페이로드를 위장함으로써 공격자는 공격자가 제어하는 명령 및 제어(C2) 서버보다 위험 신호를 제기할 가능성이 훨씬 낮은 신뢰할 수 있는 무료 서비스에 페이로드를 호스팅할 수 있다고 지적했습니다.
일단 다운로드된 백도어는 디렉터리 제거와 같은 일반적인 백도어 작업을 계속 수행합니다. 파일 복사, 이동 및 삭제; 새로운 프로세스를 시작하거나 기존 프로세스를 종료합니다. 레지스트리 키 읽기, 생성 또는 삭제 또는 키 값 설정 로컬 파일을 훔치는 것입니다.
스테그맵 외에도, 또한 Witchetty는 명령 및 제어(C2) 연결을 위한 프록시 유틸리티, 포트 스캐너, 지속성 유틸리티 등 세 가지 다른 사용자 지정 도구를 화살통에 추가했다고 연구원들은 말했습니다.
진화하는 위협 그룹
마녀가 먼저다 ESET 연구원들의 관심을 끌었습니다 410월에. 그들은 이 그룹이 일반적으로 중동과 아프리카의 외교 기관뿐만 아니라 미국 기반의 공공 기관을 표적으로 삼는 Cicada 그룹(일명 APT10)과 일부 연계된 광범위한 사이버 간첩 작전인 TA410의 XNUMX개 하위 그룹 중 하나로 식별했습니다. 말했다. ESET에서 추적하는 TAXNUMX의 다른 하위 그룹은 FlowingFrog 및 JollyFrog입니다.
초기 활동에서 Witchetty는 X4로 알려진 XNUMX단계 백도어와 LookBack으로 알려진 XNUMX단계 페이로드라는 두 가지 악성 코드를 사용하여 정부, 외교 사절단, 자선 단체, 산업/제조 조직을 표적으로 삼았습니다.
전반적으로 최근 공격은 이 그룹이 기업의 취약점에 대한 지식과 자체 맞춤형 도구 개발을 결합하여 "관심 대상"을 제거하는 강력하고 요령 있는 위협으로 부상하고 있음을 보여줍니다.
"공용 서버의 취약점을 악용하면 조직으로의 경로를 제공할 수 있으며, 생활 방식을 능숙하게 사용하는 맞춤형 도구와 결합하면 대상 조직에서 장기적이고 지속적인 존재를 유지할 수 있습니다." 게시물에 썼습니다.
정부기관을 대상으로 한 구체적인 공격 내용
중동의 정부 기관에 대한 공격에 대한 구체적인 내용은 Witchetty가 7개월 동안 끈기를 유지하고 피해자의 환경에 드나들며 마음대로 악의적인 활동을 수행한다는 사실을 보여줍니다.
공격은 27월 XNUMX일에 시작되었습니다. 그룹은 Windows에서 시스템의 보안 정책을 시행하는 역할을 하는 LSASS(Local Security Authority Subsystem Service) 프로세스의 메모리를 덤프하기 위해 ProxyShell 취약점을 악용한 후 계속되었습니다. .
다음 2개월 동안 그룹은 계속해서 프로세스를 덤프했습니다. 네트워크를 통해 측면으로 이동했습니다. 웹쉘을 설치하기 위해 ProxyShell과 ProxyLogon을 모두 활용했습니다. LookBack 백도어를 설치했습니다. 특정 서버의 마지막 로그인 계정을 출력할 수 있는 PowerShell 스크립트를 실행했습니다. CXNUMX 서버에서 악성 코드 실행을 시도했습니다.
연구원들이 관찰한 공격의 마지막 활동은 Witchetty가 원격 파일을 다운로드한 1월 2일에 발생했습니다. 배포 도구를 사용하여 zip 파일의 압축을 풀었습니다. 원격 PowerShell 스크립트와 맞춤형 프록시 도구를 실행하여 CXNUMX 서버에 접속했다고 그들은 말했습니다.
