마이크로소프트측은 최근 러시아의 한 해킹 그룹이 미국 국제 개발청(USAID)을 가장한 피싱 공격에 4개의 새로운 악성코드를 사용했다고 밝혔습니다. 지난 목요일, MSTIC(Microsoft Threat Intelligence Center)는 러시아가 지원하는 해킹 그룹인 APT29(Nobelium)가 USAID의 Constant Contact 계정을 손상시켰다고 발표했습니다.
USAID의 Constant Contact 계정을 사용하여 공격자는 국제 개발, 인도주의 및 인권 활동에 전념하는 정부 기관 및 조직을 포함하여 150개 이상의 다른 조직의 약 3000개의 이메일 계정으로 USAID를 가장한 피싱 메일을 발송하였습니다.[그림 1]
[그림 1] USAID를 가장한 피싱 메일(출처: BleepingComputer)
마이크로소프트측은 지난주 금요일에 두번째 블로그 글을 게시하는데, 최근 공격에서 Nobelium이 사용한 4가지 악성코드에 관한 정보를 전달하였습니다. 4개의 악성코드에는 ‘EnvyScout’라는 HTML 첨부파일, ‘BoomBox’로 알려진 다운로드, ‘NativeZone’으로 알려진 로더, ‘VaporRage’라는 이름의 쉘 코드 다운로더 및 실행 파일이 포함되어 있습니다.
[EnvyScout]
EnvyScout는 Window 계정의 NTLM 자격 증명 탈취를 시도하고, 피해 시스템에 악성 ISO를 드롭하는 스피어 피싱 이메일에 사용되는 악성 HTML/JS 첨부파일입니다. NV.html이라는 파일로 배포된 HTML 파일을 열면 file://URL에서 특정 이미지파일 다운로드를 시도합니다. 본 작업을 수행할 때 Windows는 로그인한 사용자의 NTML 자격 증명을 원격 사이트로 보내 공격자가 일반 텍스트 암호를 확인하고 이를 이용해 무차별 대입 공격을 시도할 수 있습니다.
[그림 2] file:// URL의 경로에서 원격 사이트로 부터 이미지 다운로드(출처: BleepingComputer)
마이크로소프트측은 첨부파일이 포함된 텍스트 Blob을 로컬 파일 시스템에 NV.img로 저장된 악성 ISO 파일로 변환하는데에도 사용된다고 말합니다.
[그림 3] NV.html 첨부파일 내용(출처: BleepingComputer)
ISO 파일이 열리면 [그림 4]와 같이 BoomBox 악성코드의 일부인 BOOM.exe를 실행하는 NV라는 바로가기를 확인할 수 있습니다.
[그림 4] NV.img ISO 파일 내용(출처: BleepingComputer)
보안 연구원 Florian Roth는 동일한 악성코드 첨부파일을 사용하여 벨기에 대사관에서 보낸 것처럼 가장한 또다른 피싱 메일을 발견했습니다[그림 5].
[그림 5] 벨기에 대사관을 사칭하는 피싱 메일(출처: BleepingComputer)
[BoomBox]
마이크로소프트측은 ISO 파일 내부의 BOOM.exe 파일을 ‘BoomBox’로 추정하고 있으며 DropBox에서 두개의 암호화된 악성코드 파일을 피해 시스템으로 다운로드 하는데 사용된다고 말했습니다.
다운로드 한 악성코드 파일을 해독한 후 BoomBox는 파일을 % AppData % MicrosoftNativeCacheNativeCacheSvc.dll 과 % AppData%SystemCertificatesCertPKIProvider.dll 로 저장하고 rundll32.exe를 사용하여 실행합니다. 다음으로 NativeCacheSvc.dll은 사용자가 Windows에 로그인 할 때 자동으로 시작되도록 구성되며 CertPKIProvider.dll을 시작하는데 사용됩니다.
마지막으로 BoomBox 악성코드는 Windows 도메인에 대한 정보를 수집하고 수집된 데이터를 암호화한 후 공격자가 제어하는 원격 서버로 전송합니다.
마이크로소프트측은 BoomBox가 LDAP 쿼리를 이용하여 모든 도메인 사용자의 고유 이름, SAM 계정 이름, 이메일 등과 같은 데이터를 수집한다고 설명합니다.
[NativeZone]
마이크로소프트측은 NativeCacheSvc.dll 파일을 ‘NativeZone’이라는 새로운 악성코드 다운로더로 탐지합니다. 이 악성코드는 사용자가 Windows에 로그인 할 때 자동으로 시작되도록 BoomBox에 의해 자동으로 등록 및 삭제됩니다. rundll32.exe를 통해 시작되면 마이크로소프트가 ‘VaporRage’로 탐지한 CertPKIProvider.dll 악성코드가 실행됩니다.
[VaporRage]
네번째 악성코드는 ‘VaporRage’이며 이전 NativeZone 섹션에서 설명한 CertPKIProvider.dll 파일입니다. 본 악성코드가 실행되면 원격 명령 및 제어 서버에 다시 연결하여 공격자에게 자신을 등록한 다음, 쉘 코드를 다운로드 할 수 있도록 원격 서버에 반복적으로 연결을 시도합니다.
쉘 코드가 다운로드되면 악성코드는 이를 실행하여 Cobalt Strike 비콘 설치를 포함한 다양한 악성 활동을 수행합니다.
이러한 공격의 배후에 있는 해킹 그룹은 SolarWinds 공급망 공격의 배후와 동일한 그룹으로 여겨집니다. 본 그룹은 Nobelium (Microsoft), NC2452 (FireEye), StellarParticle (CrowdStrike), SolarStorm (Palo Alto Unit 42) 및 Dark Halo (Volexity)로 식별되고 있습니다.
[출처]
보안관제센터 Team MIR