APT하지 마세요
정보 보안 커뮤니티에서 APT-C-35 및 SectorE02라고도 하는 DoNot은 활동을 2012년까지 수년 전으로 추적할 수 있는 APT(Advanced Persistent Threat) 해커 그룹입니다. 이 기간 동안 그룹은 확장되었습니다. 방글라데시, 태국, 스리랑카, 필리핀, 아르헨티나, 아랍에미리트, 영국 등 여러 대륙에 걸친 광범위한 목표물을 포함하는 작전입니다. 처음부터 그들의 주요 초점은 남아시아 지역과 파키스탄, 인도 및 카슈미르 위기 에 더 구체적으로 남아 있었습니다.
그룹의 주요 전문 분야는 사이버 스파이 활동 및 데이터 절도입니다. DoNot APT는 자체 맬웨어 도구 생성으로 구성된 위협적인 무기고를 사용합니다. 대부분의 캠페인에는 여러 로더가 포함된 복잡한 연결 체인이 포함되며 최종 맬웨어 페이로드가 전달되기 전에 여러 단계를 거칩니다. DoNot 해커는 또한 맬웨어 도구를 혁신하고 개선하여 새로운 기능을 지속적으로 제공하거나 보다 정교한 기술을 활용하는 능력을 보여주었습니다.
대부분의 공격에서 DoNot APT 해커는 DigitalOcean, LLC(ASN 14061)에서 임대하고 암스테르담에 위치한 Command-and-Control(C2, C&C) 서버를 사용합니다. 각각의 새 도메인 이름에 대해 새로 할당된 호스트가 예약됩니다.
맞춤형 악성코드와 관련된 복잡한 공격 연쇄
결정적인 것은 아니지만 이 그룹의 초기 침해 벡터가 Office Open XML 형식의 MS Word 문서를 포함하는 피싱 이메일의 유포라는 충분한 정황 증거가 있습니다. 초기 문서는 위협적이지 않지만 외부 요소의 자동 로드 기능을 악용하여 공격 체인의 다음 단계를 시작합니다.
프로세스가 진행되는 동안 여러 로더가 손상된 시스템에 드롭되며 각각 다른 목적을 수행합니다. 예를 들어, 특정 캠페인에서 Serviceflow.exe 트로이 목마는 사용자 및 컴퓨터 이름, OS 버전, 프로세서 세부 정보, \Program Files 및 \Program Files (86)\ 콘텐츠 세부 정보와 같은 정보를 수집하고 저장하는 감시 역할을 했습니다. 또한 A64.dll 및 sinter.exe 파일 다운로드 및 배포를 담당합니다. Sinter는 또 다른 트로이 목마이지만 그 기능은 크게 다릅니다. 공격자에게 특정 URL로 요청을 보내 현재 감염 사실을 알리고 손상된 시스템에 대해 수집한 정보를 'skillsnew[.]top'으로 빼낸다. 이 정보는 해커가 대상이 추가로 악용할 가치가 있는지 판단하는 데 도움을 주기 위한 것입니다.
맬웨어 도구의 지속적인 개발
DoNot APT는 반복 및 개선에 대한 지속적인 초점을 여러 차례 입증했습니다. 이러한 노력은 그룹에서 사용하는 다양한 로더 버전에서 쉽게 볼 수 있습니다. 이전 버전에서는 2018년 중반 이전에 사용된 모든 문자열이 일반 텍스트로 저장되었지만 이후 버전에서는 다양한 수준의 암호화가 도입되기 시작했습니다.
- 2018년 5월 - Base64로 인코딩
- 2019년 4월 - 이중 Base64 인코딩
- 2019년 1월 - CBS 모드에서 AES 알고리즘을 사용한 암호화 후 Base64 인코딩.
- 2019년 6월 - 설정된 바이트 배열을 사용한 기호별 순환 빼기, UTF-8로 인코딩, Base64 인코딩 뒤따름
- 2019년 10월 - 바이트 세트 배열을 사용하여 심볼별로 순환 수정된 XOR과 이중 Base64 인코딩 뒤따름
DoNot APT가 수행한 최근 관찰된 작업에서 이 그룹은 Firestarter Trojan 이라는 새로운 Android 멀웨어 로더를 배포했습니다. 악성코드 위협은 구글 자회사가 제공하는 FCM(Firebase Cloud Messaging)이라는 합법적인 서비스를 악용하도록 설계됐다. 이 서비스는 Android, iOS 및 기타 웹 애플리케이션에 대한 메시지 및 알림을 위한 크로스 플랫폼 클라우드 솔루션을 나타냅니다.
Firestarter 로더는 FCM을 C2 서버와의 통신 방법으로 악용했습니다. 효과적인 서비스를 사용하면 생성되는 다른 정상적인 통신과 혼합되기 때문에 비정상적인 트래픽을 훨씬 더 어렵게 감지합니다.