Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향콜롬비아 조직을 대상으로 진행 중인 악성코드 캠페인, Operation Spalax
작성일 2021-01-15 조회 37

ESET의 악성코드 연구원들은 콜롬비아 정부 기관과 민간기업을 대상으로 'Operation Spalax'이라는 감시 캠패인을 발견했다.

 

이 캠페인은 최소 2020년 이후로 활성화되었으며 공격자는 RAT 악성코드를 활용하여 피해자를 감시한다.

 

이번 공격은 콤롬비아 단체를 겨냥한 다른 캠페인과 유사하며, 특히 QiAnXin 캠페인과 유사점을 공유한다.

 

ESET에서 발견한 유사성

- QiAnXin 보고서에 포함된 악성코드와 동일한 샘플 확인

- 현재 캠페인의 일부 피싱 이메일은 VPN 서비스인 Powerhouse Management가 속한 범위에 해당하는 IP주소에서 전송되며, 이전 캠페인에서 보낸 전자 이메일의 IP 범위와 동일

- 피싱 이메일의 유사한 주제 ex. 법무부, DIAN 등

- 이전 캠페인과 동일하게 Operation Spalax의 일부 C&C 서버는 Powerhouse Management에 속한 IP 주소와 함께 'linkpc[.]net' 및 'publicvm[.]com' 하위 도메인 사용

 

그러나 전문가들은 피싱 이메일에 사용되는 첨부 파일에서 파이점을 발견했으며 RAT는 운영자의 C&C 인프라를 사용했다.

 

공격은 OneDrive에 호스팅된 RAR 아카이브 또는 악의적인 실행 파일이 포함된 MediaFire를 다운로드하도록 유도하는 피싱 메시지로 시작된다.

 

연구원들은 "이러한 실행 파일에 사용되는 다양한 패커를 찾았으며, 그 목적은 항상 페이로드를 해독하고 합법적인 프로세스에 주입하여 피해를 입은 컴퓨터에 RAT를 실행하는 것이다"라며, "공격자들이 세 가지 RAT(Remcos, njRAT, AsyncRAT)를 사용하는 것을 확인했다."고 말했다.

 

Operation Spalax

[그림 1. 공격 개요]

 

ESET는 또한 매우 난독화된 AutoIt 드로퍼의 사용을 문서화했는데, 이 공격 시나리오에서는 1단계 악성코드가 페이로드의 주입과 실행을 수행한다. 악성 프로그램은 컴파일된 AutoIt 스크립트에 포함된 두 개의 셸 코드를 사용하며, 첫 번째 셸 코드는 페이로드를 해독하고 두 번째 셸 코드를 일부 프로세스에 주입힌다.

 

Operation Spalax에 사용된 트로이 목마는 키로깅, 화면 캡처, 클립보드 하이재킹, 파일 탈취, 기타 페이로드 다운로드 및 실행 기능과 같은 대상을 감시하는 여러 기능을 포함하고 있다.

 

또한, ESET는 공격자가 대규모 네트워크 C2 인프라를 활용했다고 지적했다. 공격자들은 장치를 해킹하여 C2 서버의 프록시로 사용했을 수 있으며, 또한 위협 행위자들은 동적 DNS 서비스를 사용하여 IP 주소에 동적으로 할당된 70개의 서로 다른 도메인 이름 풀을 관리하고 정기적으로 새 도메인 이름을 등록했다. 2020년 하반기에만 24개의 IP 주소를 사용했다.

 

ESET는 "콜롬비아를 표적으로 한 악성코드 공격은 작년에 알려진 이후, 캠페인이 확대되었다."고 결론짓고 있다. 몇 대의 C2 서버와 도메인 이름을 가진 캠페인에서 수백 개의 도메인 이름이 사용된 매우 크고 빠르게 변화하는 인프라를 갖춘 캠페인으로 바뀌었다.

 

출처

https://securityaffairs.co/wordpress/113429/hacking/operation-spalax-malware.html

https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/

첨부파일 첨부파일이 없습니다.
태그 Operation Spalax  QiAnXin   Remcos  njRAT  AsyncRAT  트위터  암호화폐 경품 사기  트위터  암호화폐 경품 사기  트위터  암호화폐 경품 사기    트위터  암호화폐 경품 사기