데스스토커 APT

DeathStalker는 APT(Advanced Persistent Threat) 해커 그룹에 부여된 이름으로 연구원들이 용병으로 활동하거나 hack-for-hire 서비스를 제공하는 것으로 생각됩니다. 이 분석의 기초는 그룹에 귀속된 작업에 표시되는 특정 특성입니다. 일반적인 사이버 범죄 행위로 간주되는 것과 달리 DeathStalker는 피해자를 랜섬웨어로 감염시키지 않고 은행 또는 신용/직불 카드 자격 증명을 수집하지 않습니다. 이는 해커가 피해자로부터 금전적 이득을 추구하지 않는다는 분명한 신호입니다. 대신, DeathStalker는 매우 좁은 범위의 희생자로부터 데이터 유출을 전문으로 하는 것으로 보입니다. 외교 기관을 공격하는 것과 같은 일부 예외를 제외하고 이 그룹은 컨설팅 회사, 기술 회사, 법률 회사 등과 같이 금융 부문에서 활동하는 민간 회사를 지속적으로 추적해 왔습니다. 지리적 확산에 관해서는 DeathStalker의 주요 도구 중 하나인 Powersing이라는 악성코드 위협에서 생성된 트래픽을 추적하여 DeathStalker의 희생자가 중국, 키프로스, 이스라엘, 아르헨티나, 레바논, 스위스, 터키, 대만, 영국에서 발견되었습니다. 아랍에미리트.

스피어 피싱 및 데드 드롭 리졸버

DeathStalker APT의 공격 체인을 자세히 살펴보면 해커가 손상된 첨부 파일을 포함하는 스피어 피싱 이메일을 통해 주요 도구를 전달하는 것으로 나타났습니다. 첨부 파일은 Explorer 문서 또는 아카이브로 가장하지만 대신 손상된 LNK 파일을 운반합니다. 순진한 사용자가 이를 실행하면 복잡한 다단계 체인이 시작됩니다. 초기 단계에서 유인 문서는 백그라운드에서 진행 중인 모든 활동을 숨기고 가능한 한 의심을 최소화하기 위해 사용자에게 표시됩니다. 지속성 메커니즘은 VBE 시작 스크립트를 실행하는 Windows 시작 폴더에 바로 가기를 만들어 설정합니다. 실제 맬웨어 페이로드는 공격의 두 번째 단계에서 삭제됩니다. 이것은 실제 명령 및 제어(C&C, C2) 서버 주소를 얻기 위해 데드 드롭 리졸버에 연결합니다. 통신이 설정되면 Powersing은 시스템의 스크린샷을 찍고, 즉시 C2 서버로 보내고, C2에서 제공한 Powershell 스크립트가 실행되기를 기다리는 두 가지만 담당합니다.

Powersing이 C2 주소에 도달하는 독특한 방식은 매우 독특합니다. 해커는 게시물, 댓글, 리뷰, 사용자 프로필 등 다양한 공공 서비스에 초기 데이터가 포함된 문자열을 남깁니다. 연구원들은 Google+, Reddit, ShockChan, Tumblr, Twitter, YouTube, WordPress 및 Imgur에서 이러한 메시지를 발견했습니다. 이러한 잘 알려진 공공 서비스를 사용하면 트래픽이 정상적으로 생성되는 트래픽과 쉽게 혼합되고 회사가 플랫폼을 블랙리스트에 올리기로 결정할 경우 직면할 수 있는 어려움으로 인해 초기 통신의 성공을 거의 보장합니다. 그러나 해커에게는 흔적을 제거하는 것이 거의 불가능하다는 단점이 있습니다. 그 결과, 연구원들은 Powersing 활동의 첫 징후가 2017년에 시작되었음을 확인할 수 있었습니다.

Powersing과 다른 맬웨어 제품군 간의 연결

Powersing은 일반적이지 않은 몇 가지 독특한 특성을 가지고 있습니다. 따라서 다른 맬웨어 패밀리가 거의 동일한 속성을 갖고 있는 것으로 밝혀지면 동일한 해커 그룹에서 개발했거나 위협 행위자가 긴밀하게 협력하고 있다는 그럴듯한 가설이 생성됩니다. 그러나 Powersing 과 관련 하여 Janicab 및 Evilnum이라는 두 개의 다른 맬웨어 제품군 간에 유사점이 발견되었습니다 .

세 가지 모두 스피어피싱 이메일이 유포하는 첨부파일에 숨겨진 LNK 파일을 통해 전달된다는 사실부터 시작해보자. 이것은 꽤 일반적인 전술이지만 세 가지 모두 정규식과 하드코딩된 문장이 있는 데드 드롭 리졸버를 통해 C2 주소를 얻습니다. 마지막으로, 서로 다른 코딩 언어로 작성되었음에도 불구하고 일부 변수 및 기능에 대해 동일한 이름을 사용하는 등 이러한 악성코드 위협 간에 코드 중복이 있습니다.