전 세계 34개 회사를 상대로 알려지지 않은 백도어 악성 소프트웨어 'Sponsor'를 배포한 국가 밀착형 위협 요소 'Charming Kitten'이 관찰되었습니다. 이 군단의 눈에 띄는 특징은, 피해자의 디스크에서 일반적으로 해롭지 않은 설정 파일을 숨겨 악의적인 배치 스크립트에 의해 성공적으로 감지에서 벗어나 배포할 수 있게 합니다. ESET 연구원들이 확인한 이번 캠페인은 2021년 3월부터 2022년 6월까지 이어졌으며, 정부 및 헬스케어 조직, 금융 서비스, 공학, 제조, 기술, 법률, 통신 등을 영위하는 기업들을 대상으로 했습니다.
'Charming Kitten'는 초기에 입구를 얻기 위해 주로 CVE-2021-26855라는 Microsoft Exchange 원격 코드 실행 취약점을 악용했습니다. 그 후 해커들은 데이터 유출, 시스템 모니터링, 네트워크 침투를 용이하게하고 공격당한 컴퓨터에 대한 액세스를 유지하기 위해 다양한 오픈 소스 도구를 사용했습니다. 최종 페이로드인 'Sponsor' 백도어를 배치하기 전, 해커들은 주기적인 파일들과 구별되지 않도록 설정 파일을 작성하는 호스트 기계에서 배치 파일을 떨어뜨립니다.
'Sponsor'는 C++ 백도어로, 설정 파일에 따라 서비스를 생성하고, 암호화된 명령 및 제어(C2) 서버 주소, C2 연락 간격, RC4 복호화 키를 포함합니다. 이 악성 소프트웨어는 시스템 정보를 수집하고 노드 ID를 받아 설정 파일에 작성합니다. ESET는 또한 업데이터 도구처럼 보이는 위장 기능을 갖춘 'Sponsor'의 두 번째 버전도 확인했습니다.
요약
- 'Charming Kitten'이라는 국가-지원형 위협 요소가 이전에 알려지지 않은 백도어 소프트웨어 'Sponsor'를 전 세계 34개 회사에 배포
- 이 군단은 해중하지 않은 설정 파일을 숨기고 배치 스크립트에 의해 받페 공개, 이를 통해 해커들은 네트워크를 침투
- C++ 백도어 'Sponsor'는 서비스를 생성하고 시스템 정보를 수집, C2 서버에 보냄. ESET는 'Sponsor'의 두 번째 버전이 업데이터 도구처럼 위장되어 있다고 보고했다.
Reference
*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*