데드글리프 백도어
사이버 보안 분석가들은 최근 이전에 문서화되지 않은 "Deadglyph"라고 알려진 고급 백도어를 발견했습니다. 이 정교한 악성 코드는 "Stealth Falcon"이라는 위협 행위자가 사이버 스파이 활동의 일환으로 사용했습니다.
Deadglyph를 차별화하는 것은 두 가지 협력 구성 요소로 구성된 독특한 아키텍처입니다. 하나는 기본 x64 바이너리이고 다른 하나는 .NET 어셈블리입니다. 대부분의 맬웨어는 일반적으로 해당 구성 요소에 대해 단일 프로그래밍 언어를 사용하기 때문에 이러한 표준에서 벗어난 점은 주목할 만합니다. 이러한 이중 언어 접근 방식을 채택하면 각 프로그래밍 언어의 고유한 기능을 활용하여 두 구성 요소에 대한 별도의 개발 노력이 가능해집니다.
더욱이, 의도적으로 다른 프로그래밍 언어를 사용하는 것은 분석 노력을 방해하는 전략적 전술로 작용하는 것으로 의심됩니다. 이로 인해 보안 연구원이 맬웨어를 탐색하고 디버깅하는 것이 훨씬 더 어려워지고, 탐지 및 완화가 한 단계 더 복잡해졌습니다.
목차
Deadglyph 백도어는 특이한 특성을 나타냅니다.
Deadglyph는 중동의 미공개 정부 기관에서 사용하는 Stealth Falcon의 무기고에 최근 추가된 무기입니다. 기존 백도어와 달리 이 위협 도구는 위협 행위자가 제어하는 서버로부터 명령을 받습니다. 이러한 명령은 보조 모듈 형태로 도착하여 Deadglyph에 새로운 프로세스를 시작하고, 파일에 액세스하고, 손상된 시스템에서 데이터를 수집할 수 있는 기능을 부여합니다.
임플란트 전달의 정확한 방법은 미스터리로 남아 있습니다. 그러나 실행을 위한 초기 트리거는 Windows 레지스트리에서 쉘코드를 검색하고 로드하는 쉘코드 로더입니다. 그러면 "Executor"라고 알려진 Deadglyph의 기본 x64 구성 요소의 실행이 시작됩니다.
Deadglyph 감염은 피해자에게 재앙적인 결과를 초래할 수 있습니다.
일단 활성화된 Executor는 "Orchestrator"라는 .NET 구성 요소를 로드하기 시작합니다. Orchestrator는 명령 및 제어(C2) 서버와의 통신을 설정하고 추가 지시문을 기다립니다. 또한 이 악성 코드는 레이더 아래에 머물기 위해 일련의 회피 전술을 사용하며 자체 제거 기능도 보유하고 있습니다. 서버에서 수신된 명령은 실행을 위해 대기열에 추가되며 Orchestrator 작업, Executor 작업 및 업로드 작업이라는 세 가지 범주로 분류됩니다.
실행자 작업은 백도어 관리 및 추가 모듈 실행에 대한 제어권을 부여합니다. 반면에 Orchestrator 작업은 네트워크 및 타이머 모듈의 구성을 관리하고 보류 중인 작업을 취소할 수 있습니다.
프로세스 생성, 파일 액세스 및 시스템 메타데이터 수집을 포함하여 여러 실행자 작업이 식별되었습니다. 타이머 모듈은 네트워크 모듈과 함께 주기적으로 C2 서버에 연결하여 HTTPS POST 요청을 통해 C2 통신을 촉진합니다. 이름에서 알 수 있듯이 업로드 작업을 통해 백도어는 명령 결과와 발생한 오류를 전송할 수 있습니다.
Deadglyph는 시스템 프로세스의 지속적인 모니터링과 무작위 네트워크 패턴 구현을 포함하여 다양한 탐지 방지 메커니즘을 자랑합니다. 또한 특정 시나리오에서는 감지 가능성을 줄이기 위해 자체 제거 기능도 갖추고 있습니다.
Stealth Falcon 사이버 범죄 그룹은 거의 10년 동안 활동해 왔습니다.
FruityArmor라고도 알려진 Stealth Falcon은 2016년에 연구원들이 중동 지역의 표적 스파이웨어 공격에 관련되어 있음을 밝혀내면서 처음으로 대중의 관심을 끌었습니다. 이러한 공격은 아랍에미리트(UAE)의 언론인, 활동가, 반체제 인사를 대상으로 이루어졌습니다. 위협 행위자는 스피어 피싱 전술을 사용하여 매크로가 포함된 문서로 연결되는 이메일에 사기성 링크를 포함시켜 피해자를 유인했습니다. 이러한 문서는 임의의 명령을 실행할 수 있는 맞춤형 임플란트를 위한 전달 메커니즘으로 사용되었습니다.
2019년 후속 조사에서는 DarkMatter라는 사이버 보안 회사가 채용한 전직 미국 정보 전문가 그룹이 참여한 Project Raven이라는 비밀 작전이 공개되었습니다. 그들의 임무는 아랍 군주제에 비판적인 개인을 감시하는 것이었습니다. 놀랍게도 Stealth Falcon과 Project Raven은 공유된 전술과 목표에서 알 수 있듯이 하나이며 동일한 것처럼 보입니다.
시간이 지남에 따라 이 그룹은 CVE-2018-8611 및 CVE-2019-0797을 포함하여 Windows의 제로데이 취약점 악용과 연결되었습니다. 정보 보안 연구원들은 2016년부터 2019년 사이에 이 스파이 그룹이 다른 어떤 단체보다 제로데이 취약점을 더 광범위하게 사용했다고 지적했습니다.
같은 기간에 공격자가 Win32/StealthFalcon이라는 백도어를 사용하는 것이 관찰되었습니다. 이 위협은 명령 및 제어(C2) 통신을 위해 Windows BITS(Background Intelligent Transfer Service)를 활용하여 공격자가 손상된 엔드포인트에 대한 완전한 제어권을 부여했습니다.
