맬웨어의 진화
사이버 보안 회사 인 ESET은 특정 대상이있는 악성 코드를 조용히 배포하고있는 알려진 해킹 그룹을 발견했습니다. 이 악성 코드는 과거에 성공적으로 레이더를 통과 한 백도어를 악용합니다. 또한 소프트웨어는 활발하게 사용되는 컴퓨터를 대상으로하고 있는지 확인하기 위해 몇 가지 흥미로운 테스트를 수행합니다. 멀웨어가 활동을 감지하지 못하거나 만족스럽지 않으면 최적의 은폐를 유지하고 가능한 감지를 회피하기 위해 단순히 종료되고 사라집니다. 새로운 악성 코드는 주정부 기관 내에서 중요한 인물을 찾고 있습니다. 간단히 말해서 악성 코드는 전 세계의 외교관과 정부 부서를 쫓고 있습니다.
그만큼 Ke3chang 지능형 지속적 위협 그룹은 새로운 집중 해킹 캠페인으로 다시 부상 한 것으로 보입니다. 이 그룹은 최소한 2010 년부터 사이버 스파이 활동을 성공적으로 시작하고 관리해 왔습니다. 그룹의 활동과 공격은 매우 효율적입니다. 의도 한 목표와 결합하여 그룹이 국가의 후원을 받고있는 것으로 보입니다. 에 의해 배포 된 최신 악성 코드 Ke3chang 그룹은 매우 정교합니다. 이전에 배포 된 원격 액세스 트로이 목마 및 기타 맬웨어도 잘 설계되었습니다. 그러나 새로운 악성 코드는 대상 컴퓨터의 맹인 또는 대량 감염을 넘어 섭니다. 대신 그 행동은 매우 논리적입니다. 악성 코드는 대상과 컴퓨터의 신원을 확인하고 인증하려고 시도합니다.
ESET의 사이버 보안 연구원은 Ke3chang의 새로운 공격 식별 :
적어도 2010 년부터 활성화 된 Ke3chang 지능형 지속적 위협 그룹도 APT 15로 식별됩니다. 인기있는 슬로바키아 안티 바이러스, 방화벽 및 기타 사이버 보안 회사 인 ESET은 그룹 활동의 확인 된 흔적과 증거를 확인했습니다. ESET 연구원은 Ke3chang 그룹이 검증되고 신뢰할 수있는 기술을 사용하고 있다고 주장합니다. 그러나 맬웨어는 크게 업데이트되었습니다. 게다가 이번에는 그룹이 새로운 백도어를 악용하려고 시도하고 있습니다. 이전에 발견되지 않았고보고되지 않은 백도어는 잠정적으로 Okrum이라고 불립니다.
ESET 연구원들은 내부 분석에 따르면 그룹이 외교 기관 및 기타 정부 기관을 쫓고 있음을 나타냅니다. 덧붙여서, Ke3chang 그룹은 정교하고 표적화되고 지속적인 사이버 스파이 캠페인을 수행하는 데 매우 적극적이었습니다. 전통적으로이 그룹은 정부와 함께 일하는 공무원과 중요한 인물을 쫓았습니다. 그들의 활동은 유럽과 중남미의 국가에서 관찰되었습니다.
Ke3chang Group에서 외교관을 표적으로 삼는 새로운 Okrum 악성 코드 https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO
-Store4app (@ Store4app1) 2019 년 7 월 18 일
ESET의 관심과 관심은 Ke3chang 그룹이 회사의 모국 인 슬로바키아에서 활발히 활동 해 왔기 때문에 계속해서 유지되고 있습니다. 그러나이 그룹의 다른 인기있는 대상은 유럽의 벨기에, 크로아티아, 체코입니다. 이 그룹은 남미의 브라질, 칠레, 과테말라를 표적으로 삼은 것으로 알려져 있습니다. Ke3chang 그룹의 활동에 따르면 일반 해커 나 개인 해커가 사용할 수없는 강력한 하드웨어 및 기타 소프트웨어 도구를 갖춘 국가 후원 해킹 그룹 일 수 있습니다. ESET의 연구원 인 Zuzana Hromcova는 최신 공격도 정보 수집을위한 장기적인 지속적인 캠페인의 일부가 될 수 있다고 말합니다. '공격자의 주요 목표는 사이버 스파이 활동 일 가능성이 가장 높기 때문에 이러한 목표를 선택한 이유입니다.'
Ketrican 맬웨어 및 Okrum 백도어는 어떻게 작동합니까?
Ketrican 악성 코드와 Okrum 백도어는 매우 정교합니다. 보안 연구원은 여전히 백도어가 대상 컴퓨터에 어떻게 설치 또는 삭제되었는지 조사하고 있습니다. Okrum 백도어의 배포는 계속 미스터리로 남아 있지만 그 작동은 훨씬 더 매력적입니다. Okrum 백도어는 보안 연구원이 악성 소프트웨어의 동작을 관찰하는 데 사용하는 보안 가상 공간 인 샌드 박스에서 실행되고 있지 않은지 확인하기 위해 일부 소프트웨어 테스트를 수행합니다. 로더가 신뢰할 수있는 결과를 얻지 못하면 감지 및 추가 분석을 피하기 위해 자체적으로 종료됩니다.
Okrum 백도어가 실제 환경에서 작동하는 컴퓨터에서 실행되고 있는지 확인하는 방법도 매우 흥미 롭습니다. 로더 또는 백도어는 왼쪽 마우스 버튼을 세 번 이상 클릭 한 후 실제 페이로드를 수신하는 경로를 활성화합니다. 연구원들은 백도어가 가상 머신이나 샌드 박스가 아닌 실제 작동하는 머신에서 작동하는지 확인하기 위해이 확인 테스트를 주로 수행한다고 믿습니다.
로더가 만족되면 Okrum 백도어는 먼저 전체 관리자 권한을 부여하고 감염된 시스템에 대한 정보를 수집합니다. 컴퓨터 이름, 사용자 이름, 호스트 IP 주소 및 설치된 운영 체제와 같은 정보를 표로 만듭니다. 그 후에는 추가 도구가 필요합니다. 새로운 Ketrican 악성 코드도 매우 정교하며 여러 기능을 포함합니다. 내장 다운로더와 업 로더도 있습니다. 업로드 엔진은 파일을 은밀하게 내보내는 데 사용됩니다. 맬웨어 내의 다운로더 도구는 업데이트를 요청할 수 있으며 복잡한 셸 명령을 실행하여 호스트 컴퓨터 내부에 깊숙이 침투 할 수도 있습니다.
중국에서 활동하는 것으로 여겨지는 구식 그림자 악성 코드 그룹은 정보 보안 연구원들이 이전에 문서화되지 않은 백도어라고 말한 것으로 외교관을 표적으로 삼고 있습니다. 수년 동안 활동해온 Ke3chang 그룹은 오랫동안 활동 해 왔습니다. https://t.co/n1TBoQ1pQX
— 등록 : 요약 (@_TheRegister) 2019 년 7 월 18 일
ESET 연구원은 이전에 Okrum 백도어가 Mimikatz와 같은 추가 도구를 배포 할 수도 있음을 관찰했습니다. 이 도구는 본질적으로 스텔스 키로거입니다. 키 입력을 관찰 및 기록 할 수 있으며 다른 플랫폼이나 웹 사이트에 대한 로그인 자격 증명을 훔치려 고 시도 할 수 있습니다.
우연히 연구원들은 Okrum 백도어와 Ketrican 악성 코드가 보안을 우회하고, 높은 권한을 부여하고, 기타 불법 활동을 수행하기 위해 사용하는 명령에서 몇 가지 유사점을 발견했습니다. 둘 사이의 명백한 유사성은 연구자들로 하여금 둘이 밀접하게 관련되어 있다고 믿게 만들었다. 그것이 충분히 강한 연관성이 아니라면, 두 소프트웨어 모두 동일한 피해자를 표적으로 삼고 있었다고 Hromcova는 말합니다.“우리는 Okrum 백도어가 2017 년에 컴파일 된 Ketrican 백도어를 드롭하는 데 사용되었다는 사실을 발견했을 때 점을 연결하기 시작했습니다. , Okrum 악성 코드 및 2015 년 Ketrican 백도어의 영향을받은 일부 외교 기관도 2017 년 Ketrican 백도어의 영향을받는 것으로 나타났습니다. ”
Ke3chang APT 그룹, 외교 목표에 Okrum 백도어 폭탄 투하 https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR
— 420 Cyber, Inc. (@ 420Cyber) 2019 년 7 월 18 일
수년간 떨어져있는 두 개의 관련 악성 소프트웨어와 Ke3chang 지능형 지속적 위협 그룹의 지속적인 활동은이 그룹이 사이버 스파이 활동에 여전히 충실 함을 나타냅니다. ESET은 확신을 가지고 있으며, 그룹은 전술을 개선하고 있으며 공격의 본질은 정교함과 효율성면에서 증가하고 있습니다. 사이버 보안 그룹은 오랫동안 그룹의 악용 사례를 기록해 왔으며 상세한 분석 보고서 유지 .
최근에 우리는 해킹 그룹이 다른 불법 온라인 활동을 어떻게 포기했는지보고했습니다. 사이버 스파이 활동에 집중하기 시작했습니다. . 해킹 그룹은이 활동에서 더 나은 전망과 보상을 찾을 수 있습니다. 국가가 후원하는 공격이 증가함에 따라 악의적 인 정부는 그룹을 비밀리에 지원하고 귀중한 국가 기밀을 대가로 사면 할 수 있습니다.
