1년 간의 사이버 스파이 활동 공개: 표적 IT 기업에서 맞춤형 맬웨어 RDStealer에 대한 흥미로운 폭로

Computer Security년에 Chance 년까지

번역 :

동아시아 IT 회사를 대상으로 광범위하고 치밀하게 계획된 사이버 공격이 등장하여 위협 행위자가 사용하는 복잡한 전술이 밝혀졌습니다. 1년 이상 지속되는 이 장기 작업은 Golang 프로그래밍 언어를 사용하여 개발된 정교한 맬웨어 변종인 RDStealer를 배포하여 조정되었습니다. Bitdefender 연구원 Victor Vrabie가 기술 보고서에 제시한 자세한 결과에 따르면 공격의 주요 목표는 귀중한 자격 증명을 손상시키고 데이터 유출을 실행하는 것이었습니다.

루마니아 사이버 보안 회사가 수집한 광범위한 증거에 따르면 2022년 초에 캠페인이 시작되었으며 구체적인 목표는 동아시아의 공개되지 않은 IT 회사였습니다. 이 계시는 오늘날의 상호 연결된 세계에서 진화하는 정교함과 사이버 위협의 지속성을 극명하게 상기시켜 줍니다.

진행 상황 공개

작전 초기 단계에서는 AsyncRAT , Cobalt Strike 와 같은 일반적인 원격 액세스 트로이 목마가 활약했습니다. 그러나 2021년 말 또는 2022년 초에 공격이 진행됨에 따라 맞춤형으로 설계된 맬웨어가 탐지를 회피했습니다. 주목할만한 전략은 백도어 페이로드를 저장하기 위해 System32 및 Program Files와 같은 보안 검사에서 제외된 Microsoft Windows 폴더를 활용하는 것이었습니다. 이 접근 방식은 보안 소프트웨어의 한계를 악용하고 공격의 효율성을 높이는 것을 목표로 했습니다.

공격에서 중요한 역할을 한 특정 하위 폴더는 "C:\Program Files\Dell\CommandUpdate"로 Dell Command | 합법적인 Dell 애플리케이션인 업데이트. 흥미롭게도 사건 전반에 걸쳐 손상된 모든 시스템은 Dell에서 제조되었으며, 이는 공격자가 악의적인 활동을 위한 위장으로 이 폴더를 활용하기로 의도적으로 선택했음을 나타냅니다. 이러한 관찰은 공격자가 "dell-a[.]ntp-update[.]com"과 같은 명령 및 제어(C2) 도메인을 등록했다는 사실에 의해 강화됩니다. 이 도메인은 대상 환경에 원활하게 혼합되도록 전략적으로 설계되었습니다.

침입 캠페인은 감염된 호스트의 클립보드 및 키 입력에서 지속적으로 데이터를 수집하는 RDStealer로 알려진 서버 측 백도어를 활용합니다. 이 동작을 통해 공격자는 민감한 정보를 은밀하게 수집할 수 있습니다.

독특한 기능

이 공격의 특징은 들어오는 RDP(원격 데스크톱 프로토콜) 연결을 모니터링하고 클라이언트 드라이브 매핑이 활성화된 경우 원격 시스템을 악용하는 기능입니다. 새로운 RDP 클라이언트 연결이 감지되면 RDStealer는 mRemoteNG, KeePass 및 Google Chrome과 같은 애플리케이션에서 탐색 기록, 자격 증명 및 개인 키를 비롯한 중요한 정보를 추출하는 명령을 실행합니다. 이는 Bitdefender의 연구원인 Marin Zugec이 별도의 분석에서 강조한 것처럼 위협 행위자가 자격 증명을 적극적으로 표적으로 삼고 다른 시스템에 대한 연결을 저장한다는 점을 강조합니다. 또한 손상된 시스템에 연결하는 RDP 클라이언트는 또 다른 맞춤형 Golang 기반 맬웨어인 Logutil을 포착합니다.

Logutil은 DLL 사이드 로딩 기술을 사용하여 피해자 네트워크 내에서 지속성을 설정하고 명령 실행을 용이하게 합니다. 위협 행위자에 대한 정보는 2020년까지 거슬러 올라가는 활동을 제외하고는 제한적입니다. Zugec은 악의적인 활동을 수행하기 위해 새롭고 확립된 기술을 악용하는 사이버 범죄자의 지속적인 혁신과 진화하는 정교함에 대해 언급합니다. 이 공격은 현대 사이버 위협의 증가하는 복잡성과 널리 채택된 기술을 악용하는 위협 행위자의 능력에 대한 증거 역할을 합니다.