핵심 요약
Menlo Labs는 Discord를 통해 배포된 PureCrypter 다운로더를 특징으로 하고 정부 기관을 대상으로 하는 회피 위협 캠페인을 활용하는 알려지지 않은 위협 행위자를 발견했습니다.PureCrypter 캠페인은 피해를 입은 비영리 단체의 도메인을 명령 및 통제 (C2) 로 사용하여 보조 페이로드를 제공합니다.이 캠페인은 레드라인 스틸러, AgentTesla, Eternity, Blackmoon 및 필라델피아 랜섬웨어를 비롯한 여러 유형의 멀웨어를 전달한 것으로 밝혀졌습니다.우리의 조사는 Menlo의 클라우드 보안 플랫폼이 아시아 태평양 (APAC) 및 북미 지역의 여러 정부 고객의 암호로 보호된 아카이브 파일을 차단하면서 시작되었습니다.
Menlo Labs는 이 위협 행위자 그룹이 새 집을 찾기 전에 손상되고 이용된 인프라를 가능한 한 오랫동안 계속 사용할 것이라고 평가합니다.멀웨어에 자격 증명을 남기는 것은 OpSec 실패이지만 분석가가 추적해야 할 흔적을 남깁니다.다행히 이 경우 Menlo의 클라우드 보안 플랫폼이 이 공격을 차단했고, 이를 통해 Menlo Labs는 이를 확인하고 이 공격자를 추적할 수 있었습니다.
감염 체인
위협 인텔리전스
위협 분석 결과 PureCrypter가 2차 멀웨어를 다운로드하고 있는 것으로 확인되었는데, 이는 테슬라 요원.
퓨어 크립터 원격 액세스 트로이 목마 (RAT) 및 인포스틸러를 다운로드하는 고급 다운로더입니다.이 제품은 2021년 3월부터 “hxxps [://] purecoder.sellix.io/”에서 판매되었습니다. 테슬라 요원 다양한 브라우저에서 저장된 암호 도용, 클립보드 로깅, 화면 키로깅 및 화면 캡처 등의 기능을 갖춘 고급 백도어입니다..net으로 작성되었으며 모든 버전의 Windows 운영 체제를 지원합니다.
조사 결과 AgentTesla가 도난당한 피해자의 자격 증명을 저장하는 FTP 서버에 연결을 설정한 것으로 나타났습니다.FTP 서버가 인계된 것으로 보이며 유출된 도메인 자격 증명이 온라인에서 발견되었는데, 이는 위협 행위자가 이러한 자격 증명을 사용하여 서버에 액세스했음을 시사합니다.
또한 2차 악성코드의 다운로드 링크가 비영리 단체의 손상된 도메인에서 가져온 것이며 유출된 자격 증명이 온라인에서도 발견되었다는 점도 주목할 만합니다.
저희가 분석한 AgentTesla 멀웨어와 유사한 샘플이 알레한드로 곤잘로 (e052450f2 @891f4e7e1668 [.] com) 가 보낸 “FW: 신규 주문 번호 5959"라는 제목의 피싱 이메일에서 발견되었습니다.악성 첨부 파일의 이름은 “Nuevo pedido 7887979-800898.gz “였으며 첫 번째 사례에서 발견된 것과 동일한 FTP 서버 자격 증명이 포함되어 있었습니다.
동일한 이메일 주소로 “Purchase order6007979-709797790.gz”라는 첨부 파일과 함께 “New Order”라는 제목의 또 다른 악성 이메일도 발견되었습니다.이 쪽도 같은 FTP 서버인 ftp [://] ftp.mgcpakistan [.] com을 감염 과정의 일부로 사용했습니다!
FTP 서버 (ftp [://] ftp.mgcPakistan [.] com) 도 OneNote를 사용하는 캠페인에서 본 내용 멀웨어를 전송합니다.공격자는 추가 멀웨어를 다운로드하거나 피해자의 장치에서 정보를 훔칠 수 있는 악성 OneNote 파일 링크가 포함된 피싱 이메일을 보내고 있습니다.연구팀은 해당 FTP 서버를 사용하여 총 106개의 파일을 찾았습니다.
감염 벡터/기술 세부 정보
이 캠페인에서는 Discord를 사용하여 페이로드를 호스팅했으며 페이로드에 대한 링크가 이메일을 통해 전송됩니다.기존 방어 체계를 피하기 위해 PureCrypter는 암호로 보호된 ZIP 파일을 사용합니다.아래는 VT에서 암호로 보호되는 페이로드가 제대로 탐지되지 않는 것을 보여주는 스크린샷입니다.
공격자가 페이로드를 전달하기 위해 취한 단계는 다음과 같습니다.
- 악의적인 비밀번호로 보호된 zip 파일을 가리키는 디스코드 앱 URL이 포함된 이메일이 피해자에게 전송됩니다 (https://cdn[.]discordapp.com/attachments/1006638283645784218/1048923462128914512/Private_file__dont_share.zip, pwd - 1234, md5- 967f9bc90202925e1f941c8ea1db2c94)
- ZIP은 퓨어크립터 (md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC) 라는 닷넷에 작성된 로더를 추출합니다.로더는 아래 스크린샷과 같이 보안 침해를 당한 비영리 단체의 보조 페이로드를 다운로드하려고 합니다.조사 당시 침해된 비영리 단체의 웹 사이트가 다운되어 보조 페이로드를 받지 못했습니다.
위에서 언급한 PureCrypter 샘플 (md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC) 에서 2단계 페이로드를 다운로드할 수는 없었지만, 침해된 비영리 단체로부터 악성 페이로드를 다운로드하는 것으로 확인된 유사한 샘플을 확인할 수 있었습니다.추가 조사를 통해 우리는 이것이 AgentTesla이고 파키스탄에 위치한 FTP 서버와 통신하고 있는 것으로 확인되었습니다 (위의 정보 섹션에서 언급한 바와 같이).아래의 기술적 분석은 새 샘플 md5 -C3B90A10922EEF6D635C6C6C786F29A5D0) 에 대한 것입니다.
다운로드한 이 바이너리는 초기 탐지를 방지하기 위해 압축되어 있습니다.여기에는 아래 스크린샷과 같이 DES 알고리즘을 사용하여 리소스 섹션에서 암호화된 AgentTesla 페이로드가 포함되어 있습니다.
아래 스크린샷에는 암호화된 페이로드의 DES.IV 및 des.Key 가 나와 있습니다.
테슬라 에이전트는 a를 사용합니다 프로세스 할로우 페이로드 (Md5 - BCF031AB2B43DC382B365BA3DF9F09BC) 를 cvtres.exe 에 주입하는 기술입니다.이는 Windows OS의 모든 버전에 존재하는 표준 윈도우 프로세스입니다.
AgentTesla는 XOR 알고리즘을 사용하여 구성 파일을 암호화합니다.아래 스크린샷은 xor로 인코딩된 구성 파일을 보여줍니다.
Menlo Labs는 구성 파일을 해독할 수 있었습니다.해독된 파일은 아래와 같습니다.
해독된 파일에는 AgentTesla가 피해자 데이터를 업로드하는 FTP 서버의 CnC 세부 정보가 포함되어 있습니다.
네트워크 커뮤니케이션
테슬라 에이전트는 데이터 유출에 FTP를 사용합니다.FTPWebRequest의 경우 아래 스크린샷과 같이 도난당한 데이터를 서버로 전송하려면 FTP 서버 경로와 자격 증명이 필요합니다.
이 스크린샷은 FTP 웹 요청을 받는 방법을 보여줍니다.
“ddd @mgcpakistan [.] com”
패스워드
“*password*” - 보안상의 이유로 여기에 올바른 암호를 입력하지 않았습니다.
결론
Labs 팀은 이 위협 행위자 활동의 진화를 계속 모니터링할 것입니다.이 위협 행위자는 위협 환경에서 주요 역할을 하는 것으로 보이지는 않지만 정부 기관을 표적으로 삼는 것은 이들을 조심해야 하는 이유임에 틀림없습니다.
IOC
FTP
“ftp://ftp[.]mgcpakistan[.]com/”
사용자 이름: “ddd @mgcpakistan [.] com”
HTTP
cents-ability.org
이메일
be18d4fc15b51daedc3165112dad779e17389793fe0515d62bbcf00def2c3c2d
5732b89d931b84467ac9f149b2d60f3aee679a5f6b4701202ab2cd80e99
멀웨어
a7c006a79a6ded6b1cb39a71183123dcaaaa21ea2684a8f199f27e16fcb30e8e
5d649c5aa230376f1a08074aee91129b8031606856e9b4b6c6d0387f35f6629d
f950d207d33507345beeb3605c4e0adfa6b274e67f59db10bd08b91c96e8f5ad
397b94a80b17e7fbf78585532874aba349f194f84f723bd4adc79542d90efed3
7a5b8b448e7d4fa5edc94dcb66b1493adad87b62291be4ddcbd61fb4fb4f25346a8
efc0b3bfcec19ef704697bf0c4fd4f1cfb091dbfee9c7bf456fac02bcffcfedf
C846E7BBBC1F65452BDCA87523EDF0FD1A58CBD9A45E622E29D480D80AC331
106개의 FTP 파일이 공유하는 임파시:
F34D5F2D4577ED6D9CEEC516C1F5A744 (86개 파일)
61259b55b8912888e90f516ca08dc514 (10개 파일)
106개의 FTP 파일 중 등록 키 82가 열렸습니다.
HKLM\ 소프트웨어\ 마이크로 소프트\ 퓨전\ 로깅 레벨
106개 샘플 중 절반 이상이 다음과 같은 MITRE 기법을 공유했습니다.
- Execution TA0002
- Windows Management Instrumentation T1047
- Privilege Escalation TA0004
- Process Injection T1055
- Defense Evasion TA0005
- Disable or Modify Tools T1562.001
- Virtualization/Sandbox Evasion T1497
- Process Injection T1055
- Obfuscated Files or Information T1027
- Software Packing T1027.002
- Masquerading T1036
- Credential Access TA0006
- OS Credential Dumping T1003
- Discovery TA0007
- System Information Discovery T1082
- Security Software Discovery T1518.001
- Virtualization/Sandbox Evasion T1497
- Application Window Discovery T1010
- Process Discovery T1057
- Collection TA0009
- Data from Local System T1005
- Command and Control TA0011
- Non-Application Layer Protocol T1095
- Application Layer Protocol T1071