Menlo Labs는 은행 및 금융 서비스 회사의 직원을 대상으로 하는 악성 이메일 캠페인을 추적하고 있습니다.8월부터 미국과 영국에서 활발하게 활동한 것으로 보이는 이 캠페인은 피해자가 악성 링크를 클릭하여 파일을 보관하도록 유도하여 PC 및 기타 엔드포인트의 보안을 침해합니다.이 특정 캠페인에서 지금까지 확인된 모든 사례에서 아카이브 파일은.zip 또는.gz 파일이었습니다. 이 모든 사례에서 악성 페이로드는 수많은 회사에서 사용하는 Google 클라우드 스토리지 서비스의 도메인인 storage.googleapis.com에서 호스팅되었습니다.악의적인 공격자는 조직에서 설정하거나 상용 보안 제품에 내장된 보안 제어를 우회하기 위한 방법으로 널리 신뢰할 수 있는 이 도메인을 사용하여 페이로드를 호스팅할 수 있습니다.이는 탐지를 피하기 위해 유명하고 인기 있는 호스팅 서비스 뒤에 숨는 '평판 재킹' 사용이 증가하고 있는 사례입니다.가장 최근에 소개한 내용은 연간 웹 현황 보고서Alexa가 순위를 매긴 상위 100,000개 도메인을 분석한 결과 합법적인 호스팅 서비스를 사용하는 4,600개의 피싱 사이트가 발견되었습니다. 이러한 공격자들은 이메일과 웹을 함께 사용하여 피해자를 감염시키기 때문에 악성 첨부 파일 대신 악성 링크를 사용하기로 선택했을 수 있습니다.많은 이메일 보안 제품은 악성 첨부 파일을 탐지할 수 있지만 위협 저장소에 이미 있는 경우에만 악성 URL을 식별할 수 있습니다.이러한 종류의 혼합된 위협을 방지하려면 이메일과 웹 트래픽 모두에 대한 가시성과 상관 관계가 필수적입니다. 공격자가 1단계 드롭퍼로 사용한 악성 파일 목록은 다음과 같습니다.
기술 및 캠페인 분석
다음 그림은 악의적인 공격자가 악성 이메일을 보내는 데 사용한 다양한 이메일 주소를 보여줍니다.일부는 악의적인 활동을 수행하기 위해 만들어진 반면, 다른 일부는 해킹당한 도용 계정일 가능성이 높습니다.
한 번 사용한 이메일:
두 번 이상 사용한 이메일:
이메일 주소 중 하나가 여러 번 사용되었습니다.나머지는 모두 한 번만 사용되었습니다. 다음은 원래 이메일 주소를 확인할 수 없었던 캠페인의 URL 및 페이로드입니다.
공격자들은 엔드포인트를 손상시키기 위해 VBS 스크립트와 JAR 파일이라는 두 가지 유형의 페이로드를 사용했습니다.우리가 분석한 악성 VBS 스크립트는 난독성이 매우 높았으며, 악의적인 공격자가 널리 사용할 수 있는 키트 중 하나를 통해 만들어졌을 가능성이 큽니다. 이 키트는 악성 문서 생성을 자동화합니다.
다음 세 가지 예를 생각해 보십시오.
- 송금 청구서.vbs
- 트랜스퍼. VBS
- 은행 전표.vbs
이러한 VBS 스크립트는 동일한 키트로 생성된 것으로 생각하는데, 이는 이 세 가지 모두 이전에 연구한 바 있으며 다음과 같은 공통점이 있는 Houdini 멀웨어 계열에 속하는 것으로 보이기 때문입니다.
- 스크립트는 난독화된 VBScript의 세 가지 중첩된 수준으로 난독성이 매우 높습니다.
- 모든 스크립트는 Base64 인코딩을 사용하여 인코딩됩니다.
- 세 스크립트 모두 동일한 CnC 도메인인 pm2bitcoin.com과 통신합니다.
- 문자열”< [recoder: houdini (c) skype: houdini-fx] >“는 난독화된 VBScript의 마지막 수준에 나타납니다.
- fud.fudcrypt.com은 모든 스크립트에서 보조 CnC 주소로 사용됩니다.
- 포함된 VBScript를 실행하는 것 외에도 스크립트는 http:/rccgovercomersabuja.org/jre.zip 에서 JAR 파일을 다운로드합니다.
우리가 확인한 JAR 파일 중 하나의 파일 (Swift invoice.jar) 이 Houdini/JRAT 악성코드 계열에 속하는 것으로 보입니다.이러한 결론에 도달한 것은 이 파일이 pm2bitcoin.com과 통신했기 때문입니다.다른 JAR 파일은 아직 조사 중이며 Qrat 악성코드 계열에 속하는 것으로 판단됩니다.이러한 다른 JAR 파일에 대한 자세한 분석은 이 블로그 게시물의 2부에서 제공될 예정입니다.
결론
금융 서비스 분야는 계속해서 공격자들에게 매우 매력적인 표적이 되고 있으며, 원격 액세스 트로이 목마 (RAT) 는 기업 내에서 손상된 시스템을 제어하는 데 중요한 역할을 합니다.봇넷과 달리 RAT는 본질적으로 모듈식이므로 공격자가 손상된 시스템에 액세스한 다음 원격으로 명령을 실행할 수 있습니다.이를 통해 공격자는 네트워크를 정찰하고 도구, 기법 및 절차를 변경하여 목표를 달성할 수 있으므로 정의된 기능 집합으로 구축된 완전 자동화된 봇넷에 의존할 필요가 없습니다.엔드포인트 액세스를 확보하는 새로운 방법은 항상 개발되고 있으며 앞으로도 계속 발전할 것입니다.금융 서비스 회사는 훨씬 더 정교한 멀웨어 및 크리덴셜 피싱 공격의 표적이 될 것으로 예상할 수 있습니다.
부록: 보안 침해 지표
대상 산업
- 금융 및 뱅킹
대상 위치
- 미국, 영국
이메일 제목 줄 사용
- 세부 정보 재확인
- 스위프트 카피
거래 전표
- 확인
- 양도
- 은행 송금
- 은행 전표
해쉬
- 739110ba3a95568803a48c2ac21c860058cd82f7512605103e79fdb8e0ceb8e2
- EA6DD952F98A8445B9FE7BFE4A903CFE9F3DC1F20C3E63970048B5423D7378F
- ADE9A6E8995A58B71C55E2116AD 3956A6E7 Cafce9A5FE50E9D8506F1CFA5A9A
- B3b2988F8B8BF81D7A7774A52A06A49E9A942E8587B8E2B1EC4754A3EB157BB1
- 56b51220f1a41f316f26f0312590d3b4222185e407a1256766b6cb1c5de98635
- 1a3dd0fc8a4725048776c596a2a77f5d9dc5b62e3d99cb60617f3ed5b
- 589ea2ae48ba41c11eca1bad367b333a91ec7298ca9a38135ae0e4263ccd0392
- FCC9FDC225E6AC608A4A498FCCE4290B2089A026CB57F0E82A616FCD735140
- C958D28CECC1CDBA9E0A9E6CAF9D194f17989905D1677D90E11C4647A88B42BF
- 828482782171fe0c3980ec9454887806757c2bf6d6d0c35ea408e9b65e2ec581
이메일을 통해 전송된 악성 URL
- https://storage.googleapis.com/officexel/Remittance%20invoice.zip
- https://storage.googleapis.com/officexel/TT%20COPY.zip
- https://storage.googleapis.com/officexel/new%20slip.zip
- https://storage.googleapis.com/officexel/Transfer%20invoice.zip
- https://storage.googleapis.com/officexel/transfer.gz
- https://storage.googleapis.com/officexel/Swift%20Invoice.zip
- https://storage.googleapis.com/officexel/payment%20slip.zip
- https://storage.googleapis.com/officexel/bank%20slip.zip
2단계 다운로더 URL
- http://rccgovercomersabuja.org/jre.zip
씨엔씨 도메인
- pm2비트코인닷컴
- fud.fudcrypt.com
