고지 사항: Menlo Labs는 이 보고서에 제시된 정보에 대해 해당 법 집행 기관에 알렸습니다.
XeGroup은 적어도 2013년부터 활동해 온 해킹 그룹입니다.이 단체는 다양한 사이버 범죄 활동에 연루된 것으로 추정됩니다.이 위협 행위자는 다음과 같은 다양한 공격 기법을 사용합니다.
우리는 이 집단이 기회의 피해자를 노리는 중저수준의 위협으로 평가합니다.
XeGroup의 전술, 기법 및 절차 (TTP) 는 다음과 같은 보고서에 자세히 설명되어 있습니다. 복굴렉시이는 해당 그룹이 다른 사이버 범죄 조직과 연관되어 있을 수 있으며 국가가 후원하는 해킹 그룹과 연계되어 있을 수 있음을 시사합니다.이들은 이전에 미국에 기반을 둔 기업으로부터 3천만 달러 이상을 훔쳤으며, 의심하지 않는 고객의 결제 카드 데이터를 훔치도록 설계된 악성 코드로 여러 웹사이트와 모바일 애플리케이션을 손상시킨 바 있습니다.
최근에 CISA는 후속 권고 (AA21-209A) 를 발표했습니다. XEGroup 공격자들이 여전히 이 취약점 (CVE-2019-18935) 을 적극적으로 악용하고 있으며 IIS (인터넷 정보 서비스) 를 실행하는 미국 정부의 인터넷 연결 서버를 성공적으로 공격했다고 밝혔습니다.CVE-2019-18935 으로 추적되는 이 취약점은 공격자가 Telerik.web.ui 어셈블리의 역직렬화 취약점을 악용하여 취약한 서버에서 원격으로 임의의 코드를 실행할 수 있도록 합니다.Menlo Labs는 XE 그룹이 고객층 전체의 정부 기관, 건설 조직, 의료 기관을 표적으로 삼는 것을 관찰했습니다.
XeGroup은 베트남에 기반을 두고 있으며 “XeThanh” 및/또는 “XeGroup”이라는 이름으로 운영될 가능성이 높습니다.XeGroup은 ASPXSPY 웹 셸과 연관되어 있으며, 해당 인프라에는 “XeGroup” 명명 규칙이 포함되어 있습니다.XeGroup 운영에 사용되는 도메인을 포함하여 여러 도메인이 이메일 주소 xecloud@icloud.com 및 xemembers@icloud.com 으로 등록되었습니다.웹 셸은 의도적으로 악의적으로 설계된 스크립트로, 위협 행위자가 웹 서버에 무단으로 액세스하여 추가 공격을 수행할 수 있도록 합니다.이 글의 뒷부분에서는 이 그룹에서 사용하는 ASPXSPY 웹 셸, Xe Groups와의 연결, 그리고 이를 통해 이 그룹의 거의 완전한 어트리뷰션을 가능하게 한 방법에 대해 알아보도록 하겠습니다.
이 그룹에서 널리 사용되는 기술 중 하나는 Telerik UI 구성 요소 외에도 Magento 전자 상거래 플랫폼 및 Adobe ColdFusion 서버 소프트웨어의 취약점을 악용하여 웹 페이지에 악성 JavaScript를 삽입하는 것이었습니다.이 그룹의 활동은 2013년 이러한 목적으로 특별히 제작된 “Snipr" (Credential-Stuffing toolkit) 이라는 멀웨어를 통해 전 세계 소매점의 POS 시스템에 성공적으로 침투하면서 처음 확인되었습니다.
XeGroup은 금융 정보를 직접 훔치는 것 외에도 PayPal 및 eBay와 같은 합법적인 회사와 관련된 스푸핑된 도메인을 사용하여 발송한 피싱 이메일을 통해 기업 네트워크에 액세스하려고 시도했습니다.이러한 활동은 2020년 8월까지 계속되었는데, 이 때 XeGroup은 Volexity의 연구원들이 전 세계 법 집행 기관에 조사 결과를 보고한 후 추적을 받아 폐쇄된 것으로 추정되며, 그 결과 이러한 활동과 관련된 여러 국가에서 여러 차례 체포되었습니다.
그러나 이제 XeGroup이 다시 활성화된 것으로 보입니다.CISA는 이 그룹이 적극적으로 악용하고 있다고 보고했습니다. CVE-2019-18935 아마도 2021년 8월 이후였을 것입니다.
Menlo Labs 위협 정보 팀은 CISA, Volexity, 자체 텔레메트리 등 다양한 보고서의 샘플을 조사하여 위협 행위자 속성 분석 및 분석을 지원하는 유사점이나 연관성을 찾아냈습니다.
먼저 익스플로잇에 사용된 EXE를 살펴보는 것으로 시작했습니다.XEGroup은 탐지를 방지하기 위해 가장한 EXE 파일을 PNG 파일로 업로드합니다.이러한 EXE 파일은 C:\Windows\Temp 에서 aspx 파일을 생성하고 실행하여 다음과 통신하는 리버스 셸을 생성합니다. 엑스그룹 [.] 컴 아래 그림 1과 같이
또한 XeGroup은 일부 공격에 ASPXSPY 웹 셸을 사용합니다.웹 셸은 C# 및 ASP.NET으로 작성된 간단한 웹 애플리케이션입니다.SQL Server 데이터베이스에 연결하고, SQL 명령을 실행하고, 결과를 테이블에 표시할 수 있는 사용자 인터페이스를 제공합니다.특히 이러한 스크립트 내에는 하드코딩된 User-Agent 문자열이 있습니다.하드코딩된 사용자 에이전트 문자열은 base64로 인코딩되며, 디코딩되면 “Xethanh|XEGroups”로 표시됩니다.“ismatchagent ()” 함수는 사용자 에이전트가 이 패턴과 일치하는지 확인하고, 사용자 에이전트에 “XeThanH” 또는 “XEGroups”가 포함되어 있으면 true를 반환합니다.통신에 해당 문자열이 없는 경우 웹 셸은 가짜 오류 페이지를 반환합니다.
XeGroups 및 XeGroups [.] com에 대한 언급은 위협 행위자 코드 인프라를 통해 반복되며 “XeThanH”에 대한 참조도 마찬가지입니다.실제로 2010년 샘플에서 XeThanh의 이전 카드 스키머들이 연락처 정보를 남긴 위치를 확인할 수 있습니다.
Menlo Labs는 또한 공격자가 “object [.] fm”에서 로드한 악성 웹 리소스를 사용한 고객 기반 전반의 신용 카드 스키밍 활동을 관찰했습니다.분석 당시 이 도메인은 “XeGroups [.] com”이라는 네임서버를 사용하고 있었습니다.이를 통해 카드 스키머 활동과 DLL 리버스 셸 간의 연결이 강화되었습니다.
이 그룹에서 사용한 신용 카드 스키머의 최근 샘플을 분석한 결과 코드의 발전 과정에서 약간의 차이가 있었지만 전체 기능은 동일하게 유지되었다는 것을 알게 되었습니다.아래 스크린샷은 분석한 최신 코드 샘플과 Volexity 및 MalwareBytes에서 제공한 샘플 간에 관찰된 차이점을 보여줍니다.
위에서 수행한 모든 분석을 통해 이 그룹의 샘플을 소급하여 찾아낼 수 있었습니다.2014년까지만 해도 위협 행위자는 자동으로 이메일을 생성하는 AutoIT 스크립트와 도난당한 신용 카드에 대한 초보적인 신용 카드 유효성 검사기를 만드는 것이 목격되었습니다.아래 스크린샷은 생성된 스크립트와 관련된 위협 행위자 이름을 보여줍니다.
이러한 사이트의 후이즈 기록을 조사한 결과 이메일 주소와 기타 식별 정보를 얻었고, 이 정보를 어트리뷰션에 사용했습니다.
우리는 joynnguyen @msn [.] com과 관련된 ns1.xegroups [.] com과 관련된 ns2.xegroups [.] com으로 시작했습니다.수많은 데이터를 샅샅이 뒤지다가 인터넷에서 Joe Nguyen이라는 이름과 “XeThanH”라는 문자열이 함께 발견된 사례가 많이 있었습니다.다음은 이러한 연관성을 발견한 GitHub 코드 리포지토리의 예입니다.
이제 기술적 분석에서 위에서 언급한 객체 [.] fm의 역사적 기록을 살펴보겠습니다.5개월 전 이 사이트의 코드를 검사했을 때 페이지 헤더에서 “XeThanH”를 참조하는 “태그”와 “페이지 제목”을 발견했습니다.
XeThanh 사용자 이름과 거기에 보이는 아이콘/글꼴을 사용하여 OSINT 도구를 사용하여 동일한 프로필 사진을 사용하는 배우의 Instagram 및 Friend Finder 계정을 찾습니다.
클라우드 기반 로컬라이제이션 기술 및 서비스 회사인 Crowdin에서도 GitHub의 동일한 아이콘과 Joe Nguyen이라는 이름을 발견했습니다.하지만 한 가지 작은 변화가 있었습니다. 아래 스크린샷에서 볼 수 있듯이 XethanH 대신 XephanMem이라는 별칭이 붙었습니다.
이 정보를 바탕으로 OSINT 도구를 부지런히 활용하여 데이터 수집을 극대화하기 시작했고, 그 결과 귀중한 정보를 추가로 발견할 수 있었습니다.또한 고유한 IP 주소와 암호를 식별할 수 있었습니다.
joynnguyen @msn [.] com (xegroups [.] com 네임 서버를 등록하는 데 사용됨) 이메일의 OSINT 기록에서 IP 주소와 매우 독특한 암호를 볼 수 있었습니다.우리는 이 똑같은 고유 암호를 사용하는 새 이메일 주소를 찾았고, 이름 지정 규칙에 따라 더 나아갈 수 있었습니다.
제공된 데이터에 따르면 조 응우옌 (Joe Nguyen) 과 탄 응우옌 (Thanh Nguyen) 이라는 이름으로도 불리는 응우옌 후 타이는 XE 그룹에 관여할 가능성이 가장 높습니다.또한 xxx.corp@gmail.com 이메일 주소는 해당 그룹과 관련이 있을 가능성이 높지만, 이러한 연관성을 확실하게 확인하려면 보다 구체적인 증거가 필요합니다.
사이버 범죄 활동 이력이 있는 중저급 위협 수준의 해킹 그룹인 XEGroup이 다시 등장하여 CVE-2019-18935 취약점을 적극적으로 악용하고 있습니다.그룹 해체를 위한 이전의 노력에도 불구하고 XeGroup은 정부 기관, 건설 조직, 의료 서비스 제공업체 등 다양한 부문에 대한 지속적인 위협으로 남아 있습니다.
추가 IOC는 다음 사이트를 참조하십시오. 복수 과 CISA.
고지 사항: Menlo Labs는 이 보고서에 제시된 정보에 대해 해당 법 집행 기관에 알렸습니다.
