Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향LazyScripter, 원격 액세스 트로이 목마로 항공사를 표적으로 삼는다
작성일 2021-02-25 조회 38

 

 

여러 세트의 악성 이메일을 분석하는 보안 연구자들은 이전에 확인되지 않은 행위자의 활동이 APT에 적합하다고 발견했다.

 

LazyScripter라고 불리며 2018년부터 피싱을 사용하여 취업을 위해 캐나다로 이민하려는 개인, 항공사 및 국제 항공 운송 협회(IATA)를 표적으로 삼았다.

 

이 장기적인 캠페인을 지원하는 인프라는 여전히 활성화되어 있으며 위협 행위자는 도구 세트를 업데이트하면서 계속 발전하고 있다.

 

 

오픈 소스 프로젝트 사용

 

LazyScripter의 최근 활동에는 무료로 사용할 수 있는 Octopus 및 Koadic 악성 맬웨어의 사용이 포함된다. 둘 다 악성 문서와 임베디드 개체( 또는 배치 파일)를 포함하는 ZIP 아카이브를 통해 제공되었으며 피싱 공격에서 흔히 볼 수 있는 매크로 코드는 아니었다.

 

 

[그림1. Malwarebytes가 공개한 자료]

 

 

또한, Malwarebytes의 연구원들은 공격자가 LuminosityLink, RMS, Quasar, njRat 및 Remcos와 같은 여러 해킹 그룹에 공통적으로 다른 RAT(원격 액세스 트로이 목마)를 삭제한 다른 예시를 발견했다.

 

연구원들에 따르면, LazyScripter는 처음에 PowerShell Empire 사후 공격 프레임워크를 사용한 후 double-RAT 전술로 전환했다. 연구원들은 이 페이로드의 로더 이름을 KOCTOPUS와 Empoder로 각각 불렀다.

 

일반적으로 악의적인 문서에는 PDF, Microsoft Word/Excel 파일인 것처럼 가장하는 아이콘이 포함된 하나 또는 두 개의 개체가 포함되어 있다. 이러한 개체는 KOCTOPUS 및 Empoder 로더의 배치, 실행 파일 또는 의 변형이다.

 

Octopus와 Koadic을 배포하고 시스템에서 지속성을 보장하기 위해 사용되는 KOCTOPUS는 Batch Encryption 도구를 사용하여 난독화된다.

 

KOCTOPUS를 통한 전반적인 침해 프로세스에는 Windows의 UAC(사용자 계정 컨트롤) 보안 기능 우회, Microsoft 보안 제품 비활성화, RMS 또는 LuminityLink RAT를 다운로드가 포함된다.

 

 

[그림2. LazyScripter 작동 순서]

 

 

GitHub에서 도구 세트 호스팅

 

LazyScriptter는 과거에 이란과 관련된 APT 그룹이 사용했던 전술인 GitHub에서 도구 세트를 호스팅했다.

 

Malwarebytes는 LazyScripter에 연결된 세 개의 계정을 발견했다. 그 중 두 명(LIZYSARA와 Axella49)은 1월에 삭제되었지만 세 번째(OB2021)는 2월 2일에 등장하여 여전히 활동 중이다.

 

일부 이메일은 BSPLink 소프트웨어를 사용하는 항공사를 위해 특별히 설계된 것으로 보인다. BSP (Billing and Settlement Plan)를위한 IATA의 솔루션으로 기업은 다음을 수행할 수 있다.

 

 - 단일 프로세스로 전 세계 수금 및 결제 관리

 - 단일 파일 전송을 통해 수익 조정 데이터 복구 자동화

 - ADM / ACM 또는 환불 관리 자동화

 - 동일한 결제 프로세스를 통해 보완 서비스 Global Net Remit 5로 판매 인센티브 관리

 

 

다양한 미끼

 

Malwarebytes는 상세한 기술 보고서에서 "IATA ONE ID(비접촉 승객 처리 도구)라는 최근 IATA가 도입한 새로운 기능을 모방하기 위해 미끼가 변화했다."라고 밝혔다.

 

 

[그림3. LazyScripter의 피싱 이메일]

 

 

LazyScripter가 사용한 다양한 루트를 기반으로 한 피싱 활동의 타임라인은 아래와 같다.

 

 

[그림4. LazyScripter의 피싱 이메일 타임라인]

 

 

귀속에 대한 불충분한 증거

 

LazyScripter는 여러 공격자의 해킹 활동에 널리 사용되는 오픈 소스 공격 후 도구와 맬웨어를 사용하여 귀속과 관련된 단서를 거의 남기지 않는다.

 

그러나 Malwarebytes는 공개 조사에 따르면 Koadic 침투 테스트 도구를 캠페인에 사용한 두 명의 위협 행위자, 즉 이란에 연결된 MuddyWater와 러시아 APT28(Fancy Bear/Sofacy/Strontium/Sednit)만 표시된다.

 

회사 측에선 APT28과의 연관성을 찾지 못했지만 과거 캠페인에서 Koadic과 PowerShell Empire를 모두 사용하고 GitHub에 의존하여 악성 도구 세트를 호스팅한다는 점에서 MuddyWater와 유사점을 발견했다고 밝혔다.

 

그러나 신뢰도가 높은 귀속을 허용하지 않고 Malwarebytes가 LazyScript를 새 APT 그룹으로 분류하도록 하는 몇 가지 측면이 있다.

 

 - MuddyWater의 캠페인은 표적이 되고, LazyScripter는 스팸에 의존하여 피해자에게 접근한다.

 - LazyScripter 캠페인에 사용된 맬웨어는 과거에 MuddyWater와 관련이 없다.

 - 포함된 문서의 사용은 일반적으로 악의적인 매크로를 사용하는 MuddyWater에만 국한되지 않는다.

 - 널리 사용되는 도구만 사용되었으며 MuddyWater는 맞춤 도구를 사용한다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/lazyscripter-hackers-target-airlines-with-remote-access-trojans/

첨부파일 첨부파일이 없습니다.
태그 LazyScripter