조심해! Log4j를 사용하여 새로운 백도어를 설치하는 위협 행위자

Log4j 는 신종 코로나바이러스 처럼 2022년에는 아무데도 가지 않을 것 같습니다. 고양이는 가방에서 나왔고 멈출 기미도 없이 미친 듯이 달리고 있습니다. 보안 회사인 Check Point의 최근 분석에 따르면 APT35 라는 이름으로 알려진 국가 지원 위협 행위자가 현재 Log4j를 사용하여 PowerShell을 사용하는 완전히 새로운 악성 툴킷을 배포하고 있습니다.

Microsoft의 보안 연구원들은 동일한 위협 행위자를 Phosphorous라고 명명했습니다. 해커들은 국가가 지원하는 이란 그룹으로 간주됩니다. 지난 주 Microsoft는 Log4j 취약 시스템 이 여전히 노출된 네트워크를 찾기 위해 이미 대규모 조사를 수행하고 있는 여러 국가의 지원을 받는 위협 행위자에 대해 경고했습니다.

APT35는 알려진 도구를 사용합니다

Check Point가 최신 APT35 사례에 대해 수행한 연구에 따르면 해커는 자신의 일을 특별히 잘하지 않는 것으로 나타났습니다. 연구 보고서는 초기 공격 벡터를 "서두르다"라고 부릅니다. 이는 이전에 GitHub에서 사용할 수 있었던 기본 오픈 소스 도구를 사용하여 중단되기 전에 사용하는 것입니다.

APT35가 액세스 권한을 얻으면 이 그룹은 손상된 네트워크에서 지속성을 확보하기 위해 PowerShell을 기반으로 하는 모듈식 백도어를 설치합니다. 동일한 PowerShell 도구를 사용하여 C2 서버와 통신하고 추가 악성 모듈을 다운로드하고 명령을 실행합니다.

APT35에서 사용하는 모듈식 백도어

PowerShell 모듈은 손상된 시스템에 대한 정보를 스크랩한 다음 제어 서버로 다시 보냅니다. 받은 응답에 따라 서버는 C# 또는 PowerShell 에서 추가 모듈을 실행하여 공격을 추가하기로 결정할 수 있습니다. 이러한 추가 모듈은 정보 추출 또는 네트워크의 기존 데이터 암호화와 같은 다양한 작업을 수행합니다.

기능은 여기서 멈추지 않습니다. 일부 모듈은 스크린샷 캡처를 허용하고, 일부는 활성 백그라운드 프로세스를 모니터링하고, 마지막으로 스캔으로 남은 모든 흔적을 지우는 모듈과 프로세스를 종료하는 다른 모듈을 허용합니다.

초기 공격 이후에 배포된 이 툴킷의 풍부한 기능에도 불구하고 연구원들은 APT35를 그다지 높이 평가하지 않았습니다. 그 이유는 해커 그룹이 탐지를 쉽게 해주는 이전에 알려진 공개 도구를 사용하고 보안 모니터링을 더욱 쉽게 만들고 경보를 울리는 이미 존재하는 C2 서버 인프라에 의존했기 때문입니다.

2022년 동안 어떤 식으로든 Log4j 취약점을 악용하는 새롭고 점점 더 창의적인 공격에 대해 듣게 될 것이 매우 확실합니다. 바라건대, 회사와 소프트웨어 및 플랫폼 개발자는 최소한 속도를 유지하기 위해 손을 잡고 신속하게 협력할 것입니다. 해커보다 뒤처지지 마십시오.