Evil Corp이 ServHelper 백도어 캠페인을 실행하는 데 사용하는 TeslaGun이라는 새로 발견된 사이버 공격 패널이 발견되었습니다.
PTI(Prodraft Threat Intelligence) 팀의 분석에서 수집한 데이터에 따르면 Evil Corp 랜섬웨어 갱단(다른 505개의 다채로운 추적 이름과 함께 TA2165 또는 UNC8,000라고도 함)이 TeslaGun을 사용하여 대량 피싱 캠페인과 표적 캠페인을 수행했습니다. 3,600개 이상의 다양한 조직 및 개인. 대부분의 목표는 XNUMX명 이상의 희생자가 있는 미국에 있었으며 그 밖의 국제 분포가 흩어져 있습니다.
ServHelper 백도어 맬웨어는 최소 2019년부터 시작된 장기 실행 및 지속적 업데이트 패키지의 지속적인 확장이 있었습니다. 2021년 하반기에 다시 한 번 활기를 띠기 시작했다고 Cisco Talos의 보고서, 가짜 설치 프로그램 및 Raccoon 및 Amadey와 같은 관련 설치 프로그램 맬웨어와 같은 메커니즘에 의해 촉진됩니다.
가장 최근에, Trellix의 위협 인텔리전스 지난달에는 ServHelper 백도어가 최근 시스템에 숨겨진 크립토마이너를 떨어뜨리는 것이 발견되었다고 보고했습니다.
PTI 보고서, 화요일에 발행된 TeslaGun의 기술 세부 사항을 자세히 살펴보고 기업이 오늘날 널리 퍼진 일부 백도어 사이버 공격 추세에 대한 중요한 대응책으로 앞으로 나아갈 수 있도록 도와주는 몇 가지 세부 정보와 팁을 제공합니다.
인증 메커니즘을 우회하고 엔터프라이즈 시스템에서 조용히 지속성을 설정하는 백도어 공격은 사이버 보안 방어자에게 가장 당혹스러운 공격 중 하나입니다. 이러한 공격은 표준 보안 제어로 탐지하거나 방지하기가 매우 어렵기 때문입니다.
백도어 공격자는 공격 자산을 다양화합니다.
PTI 연구원들은 조사 중에 다양한 피해자 프로필과 캠페인을 관찰했으며 이는 ServHelper 공격이 다양한 동시 캠페인에서 피해자를 찾아 헤매고 있다는 이전 연구를 뒷받침합니다. 기회주의적 타격을 위해 넓은 그물을 던지는 트레이드 마크인 공격 패턴입니다.
"TeslaGun 컨트롤 패널의 단일 인스턴스에는 다양한 전달 방법과 공격 데이터를 나타내는 여러 캠페인 기록이 포함되어 있습니다."라고 보고서는 설명했습니다. "최신 버전의 맬웨어는 이러한 다양한 캠페인을 캠페인 ID로 인코딩합니다."
그러나 사이버 공격자는 피해자를 적극적으로 프로파일링할 것입니다.
동시에 TeslaGun에는 공격자가 피해자를 프로파일링하고 일부 지점에서 많은 메모를 작성하고 표적 백도어 공격을 수행하고 있다는 많은 증거가 포함되어 있습니다.
“PTI 팀은 TeslaGun 패널의 메인 대시보드에 피해자 기록에 첨부된 댓글이 포함되어 있음을 관찰했습니다. 이 기록은 CPU, GPU, RAM 크기 및 인터넷 연결 속도와 같은 피해자 장치 데이터를 보여줍니다. “한편 피해자 의견에 따르면 TA505는 암호화폐 지갑과 전자상거래 계정을 포함한 온라인 뱅킹 또는 소매 사용자를 적극적으로 찾고 있는 것이 분명합니다.”
보고서는 대부분의 피해자가 금융 부문에서 활동하는 것으로 보이지만 이러한 표적이 배타적이지 않다고 말했습니다.
재판매는 백도어 수익 창출의 중요한 부분입니다.
제어판의 사용자 옵션이 설정되는 방식은 연구자들에게 그룹의 "작업 흐름 및 상업적 전략"에 대한 많은 정보를 제공했다고 보고서는 말했습니다. 예를 들어 일부 필터링 옵션에는 "판매" 및 "판매 2"라는 레이블이 지정되었으며 이러한 그룹의 피해자는 패널을 통해 RDP(원격 데스크톱 프로토콜)를 일시적으로 비활성화했습니다.
보고서에 따르면 "이는 아마도 TA505가 특정 피해자를 착취하여 즉시 이익을 얻을 수 없다는 것을 의미합니다."라고 말했습니다. "그들을 놓아주는 대신, 이 그룹은 다른 사이버 범죄자들에게 재판매하기 위해 피해자의 RDP 연결에 태그를 붙였습니다."
PTI 보고서는 연구원들의 관찰에 따르면 그룹의 내부 구조가 "놀랍게도 무질서"했지만 회원들은 여전히 "피해자를 주의 깊게 모니터링하고 특히 금융 부문의 고액 피해자에 대해 놀라운 인내심을 보여줄 수 있다"고 말했습니다.
분석 결과 그룹의 강점은 민첩성이며, 이는 활동을 예측하고 시간이 지남에 따라 감지하기 어렵게 만듭니다.
그럼에도 불구하고 백도어 공격자는 완벽하지 않으며 이는 이러한 노력을 방해하려는 사이버 보안 전문가에게 몇 가지 단서를 제공할 수 있습니다.
“그러나 이 그룹은 몇 가지 숨길 수 없는 약점을 보여줍니다. TA505는 피해자의 장치에서 몇 달 동안 숨겨진 연결을 유지할 수 있지만 그 구성원은 종종 비정상적으로 시끄럽습니다.”라고 보고서는 말했습니다. “ServHelper를 설치한 후 TA505 위협 행위자는 RDP 터널링을 통해 피해자 장치에 수동으로 연결할 수 있습니다. 이러한 터널을 탐지할 수 있는 보안 기술은 TA505의 백도어 공격을 포착하고 완화하는 데 필수적일 수 있습니다.”
러시아와 연계된(그리고 제재를 받은) Evil Corp은 지난 XNUMX년 동안 가장 많은 활동을 한 그룹 중 하나였습니다. 에 따르면 미국 정부, 이 그룹은 금융 트로이 목마 Dridex의 배후에 있는 브레인 트러스트이며 WastedLocker와 같은 랜섬웨어 변종을 사용하는 캠페인과 관련이 있습니다. 무기고를 위해 계속해서 많은 무기를 연마하고 있습니다. 지난주에 그것이 관련되어 있다는 것이 밝혀졌습니다. 라즈베리 로빈 감염.
PTI는 TA505를 사용하여 위협을 추적하고 합의는 견고하다 하지만 TA505와 Evil Corp이 같은 그룹이라는 것이 보편적인 것은 아닙니다. 지난달 국정원 보고 보건 부문 사이버 보안 조정 센터(HC3) "현재 그 결론을 지지하지 않는다"고 말했다.
