최근 스파이 시도의 백도어가 Microcin 맬웨어에 연결

최근 스파이 시도의 백도어가 Microcin 맬웨어에 연결

안티 바이러스 엔진은 통신 및 가스 부문의 두 회사의 정부 기관과 회사 네트워크에 침투하려는 고급 공격자의 시도를 자극했습니다.

발견 된 도구 세트를 기반으로 한이 공격은 중앙 아시아의 표적을 감시하는 임무를 가진 중국 출신의 전문 위협 행위자의 작업입니다.

알려진 맬웨어에 대한 링크
공격은 지난 가을에 발생했으며 Avast 및 ESET 바이러스 백신 엔진에 의해 자동으로 중지되었습니다. 측면 이동을위한 수많은 백도어와 툴은 나중에 멀웨어 연구원들에 의해 분석되었으며, 이들은 과거의 멀웨어 및 중국에 기반을 둔 행위자에 의한 캠페인과 코드의 유사성을 발견했습니다.

중국어 연결을 가리키는 몇 가지 힌트는 대부분의 명령 및 제어 (C2) 서버에 호스팅 공급자 인 Choopa, LLC를 사용하고 과거에는 중국어 APT에 기인 한 Gh0st RAT를 사용하는 것입니다.

Choopa는 알려진 방탄 호스팅 제공 업체입니다.  3 월에 업데이트 된 Cisco의  보고서 에서 Choopa는 "범죄자가 익스플로잇 킷 도메인, 피싱 및 기타 그레이 콘텐츠를 호스팅하기에 매력적인 플랫폼"이라고 설명했습니다.

"우리가 분석 한 샘플에는 Microcin ,  BYEBY 및 Vicious Panda 와  같은 맬웨어 샘플 및 캠페인에 대한 링크가 포함되어 있습니다  " -Avast

카스퍼 스키가 러시아 군을 겨냥한 마이크로 신에 관한 정보를 출판했을 때이 캠페인을 추적하는 것은 2017 년으로 거슬러 올라갑니다. 며칠 후 Palo Alto Network는 벨로루시 정부를 대상으로 한 BYEBY 분석을 발표했습니다.

두 달 전에 Check Point는 몽골 공공 부문에 대한 악의적 인 캠페인을 발표했습니다. 이러한 모든 작업은 이제 코드 유사성을 공유하는 도구 세트를 통해 연결됩니다.

Avast와 ESET는 오늘 위협 행위자가 침입 시도에 사용한 모든 도구에 대한 기술적 세부 정보가 포함 된 보고서 [ 1 ,  2 ]를 발표 했습니다.

백도어 보호
이 공격에서 3 개의 백도어 세트가 발견되었습니다. ESET은 Mikroceen이라는 이름으로 통칭합니다. 공격자는 파일 수정 및 삭제, 스크린 샷 찍기, 서비스 및 프로세스 조작, 콘솔 명령 실행 또는 자체 삭제 루틴을 배포 할 수있었습니다.

그들 모두 리버스 엔지니어링에 대한 보호 기능이 있습니다. "sqllauncher.dll"과 "logon.dll"중 두 개는 서비스로 실행되며 동일한 C2 서버를 사용합니다.

제어 서버에 보안 연결을 설정하면 감염된 시스템 (운영 체제 버전, 사용자 이름)에 대한 원격 분석 정보를 보냅니다. 파일을 읽고 훔치고 명령을 실행하며 원격 셸을 시작할 수 있습니다.

세 번째 백도어 인 "logsupport.dll"은 다른 C2를 사용하며 가상 환경에서 실행 중인지 확인할 수 있습니다. 시스템 정보 (NETBIOS 이름, IP 주소, 사용자 이름, OS 버전, MAC 주소, CPU 코어, OEM 코드 페이지)를 업로드하여 손상된 호스트를 지문 처리합니다.

연구원들은이 백도어가 확장자가 .TU 및 .TUT 인 파일을 대상으로하고이를 수정할 C2 서버에 업로드 할 수 있다는 점이 특히 흥미 롭다고 말합니다.

자격 증명을 도용하기 위해 액터는 두 단계로 설치되는 Mimikatz 사후 탐색 도구 버전을 사용합니다. 측면 이동의 경우 엄격한 프록시 보안을 설정하고 로컬 리소스에 액세스하기 위해 WMI (Windows Management Instrumentation)를 사용했습니다.

일반적으로 동아시아의 적들에게 보이는 백도어 인 Gh0st RAT도 신비한 공격자들에 의해 사용되었습니다. 소스 코드는 다양한 그룹에서 사용할 수 있으므로 특정 공격자를 확실하게 가리킬 수 없습니다.

Avast는 침입을 발견 한 후 영향을받는 조직과 지역 CERT 팀에 연락했지만 아무런 답변도받지 못했다고 말합니다.

발견 된 샘플에 대한 공격은 다른 국가에서도 계속되었으며, 이는 동일한 툴셋을 사용하여 그룹이 여전히 작업을 수행하고 있음을 나타냅니다.

Avast와 ESET은이 위협 요소 군에 대한 IoC (Indication of Indication)를 업데이트했습니다. GitHub 에서 여기  및  여기 에서 자유롭게 사용할 수  있습니다 .