Upcoming Webinar
Navigating Your Zero Trust Journey: Key Consideration and Best Practice for 2025
Icon Rounded Closed - BRIX Templates

퓨어크립터는 디스코드를 통해 정부 기관을 겨냥합니다

|
__wf_예약_상속

핵심 요약

Menlo Labs는 Discord를 통해 배포된 PureCrypter 다운로더를 특징으로 하고 정부 기관을 대상으로 하는 회피 위협 캠페인을 활용하는 알려지지 않은 위협 행위자를 발견했습니다.PureCrypter 캠페인은 피해를 입은 비영리 단체의 도메인을 명령 및 통제 (C2) 로 사용하여 보조 페이로드를 제공합니다.이 캠페인은 레드라인 스틸러, AgentTesla, Eternity, Blackmoon 및 필라델피아 랜섬웨어를 비롯한 여러 유형의 멀웨어를 전달한 것으로 밝혀졌습니다.우리의 조사는 Menlo의 클라우드 보안 플랫폼이 아시아 태평양 (APAC) 및 북미 지역의 여러 정부 고객의 암호로 보호된 아카이브 파일을 차단하면서 시작되었습니다.

Menlo Labs는 이 위협 행위자 그룹이 새 집을 찾기 전에 손상되고 이용된 인프라를 가능한 한 오랫동안 계속 사용할 것이라고 평가합니다.멀웨어에 자격 증명을 남기는 것은 OpSec 실패이지만 분석가가 추적해야 할 흔적을 남깁니다.다행히 이 경우 Menlo의 클라우드 보안 플랫폼이 이 공격을 차단했고, 이를 통해 Menlo Labs는 이를 확인하고 이 공격자를 추적할 수 있었습니다.

감염 체인

diagram illustrating download to password protected zip to purecrypter

위협 인텔리전스

위협 분석 결과 PureCrypter가 2차 멀웨어를 다운로드하고 있는 것으로 확인되었는데, 이는 테슬라 요원.

퓨어 크립터 원격 액세스 트로이 목마 (RAT) 및 인포스틸러를 다운로드하는 고급 다운로더입니다.이 제품은 2021년 3월부터 “hxxps [://] purecoder.sellix.io/”에서 판매되었습니다. 테슬라 요원 다양한 브라우저에서 저장된 암호 도용, 클립보드 로깅, 화면 키로깅 및 화면 캡처 등의 기능을 갖춘 고급 백도어입니다..net으로 작성되었으며 모든 버전의 Windows 운영 체제를 지원합니다.

조사 결과 AgentTesla가 도난당한 피해자의 자격 증명을 저장하는 FTP 서버에 연결을 설정한 것으로 나타났습니다.FTP 서버가 인계된 것으로 보이며 유출된 도메인 자격 증명이 온라인에서 발견되었는데, 이는 위협 행위자가 이러한 자격 증명을 사용하여 서버에 액세스했음을 시사합니다.

Screenshot showing collected victim information on FTP server
수집된 피해자 정보를 보여주는 손상된 FTP 서버
screenshot showing collected victim information

또한 2차 악성코드의 다운로드 링크가 비영리 단체의 손상된 도메인에서 가져온 것이며 유출된 자격 증명이 온라인에서도 발견되었다는 점도 주목할 만합니다.

저희가 분석한 AgentTesla 멀웨어와 유사한 샘플이 알레한드로 곤잘로 (e052450f2 @891f4e7e1668 [.] com) 가 보낸 “FW: 신규 주문 번호 5959"라는 제목의 피싱 이메일에서 발견되었습니다.악성 첨부 파일의 이름은 “Nuevo pedido 7887979-800898.gz “였으며 첫 번째 사례에서 발견된 것과 동일한 FTP 서버 자격 증명이 포함되어 있었습니다.

동일한 이메일 주소로 “Purchase order6007979-709797790.gz”라는 첨부 파일과 함께 “New Order”라는 제목의 또 다른 악성 이메일도 발견되었습니다.이 쪽도 같은 FTP 서버인 ftp [://] ftp.mgcpakistan [.] com을 감염 과정의 일부로 사용했습니다!

FTP 서버 (ftp [://] ftp.mgcPakistan [.] com) 도 OneNote를 사용하는 캠페인에서 본 내용 멀웨어를 전송합니다.공격자는 추가 멀웨어를 다운로드하거나 피해자의 장치에서 정보를 훔칠 수 있는 악성 OneNote 파일 링크가 포함된 피싱 이메일을 보내고 있습니다.연구팀은 해당 FTP 서버를 사용하여 총 106개의 파일을 찾았습니다.

감염 벡터/기술 세부 정보

이 캠페인에서는 Discord를 사용하여 페이로드를 호스팅했으며 페이로드에 대한 링크가 이메일을 통해 전송됩니다.기존 방어 체계를 피하기 위해 PureCrypter는 암호로 보호된 ZIP 파일을 사용합니다.아래는 VT에서 암호로 보호되는 페이로드가 제대로 탐지되지 않는 것을 보여주는 스크린샷입니다.

Screenshot showing 1 security vendor and no sandboxes flagged file as malicious

공격자가 페이로드를 전달하기 위해 취한 단계는 다음과 같습니다.

  • 악의적인 비밀번호로 보호된 zip 파일을 가리키는 디스코드 앱 URL이 포함된 이메일이 피해자에게 전송됩니다 (https://cdn[.]discordapp.com/attachments/1006638283645784218/1048923462128914512/Private_file__dont_share.zip, pwd - 1234, md5- 967f9bc90202925e1f941c8ea1db2c94)
  • ZIP은 퓨어크립터 (md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC) 라는 닷넷에 작성된 로더를 추출합니다.로더는 아래 스크린샷과 같이 보안 침해를 당한 비영리 단체의 보조 페이로드를 다운로드하려고 합니다.조사 당시 침해된 비영리 단체의 웹 사이트가 다운되어 보조 페이로드를 받지 못했습니다.
screenshot of code

위에서 언급한 PureCrypter 샘플 (md5 - 5420DCBAE4F1FBA8AFE85CB03DCD9BFC) 에서 2단계 페이로드를 다운로드할 수는 없었지만, 침해된 비영리 단체로부터 악성 페이로드를 다운로드하는 것으로 확인된 유사한 샘플을 확인할 수 있었습니다.추가 조사를 통해 우리는 이것이 AgentTesla이고 파키스탄에 위치한 FTP 서버와 통신하고 있는 것으로 확인되었습니다 (위의 정보 섹션에서 언급한 바와 같이).아래의 기술적 분석은 새 샘플 md5 -C3B90A10922EEF6D635C6C6C786F29A5D0) 에 대한 것입니다.

screenshot of code

다운로드한 이 바이너리는 초기 탐지를 방지하기 위해 압축되어 있습니다.여기에는 아래 스크린샷과 같이 DES 알고리즘을 사용하여 리소스 섹션에서 암호화된 AgentTesla 페이로드가 포함되어 있습니다.

screenshot of code

아래 스크린샷에는 암호화된 페이로드의 DES.IV 및 des.Key 가 나와 있습니다.

screenshot of des.IV and des.Key of encrypted payload

테슬라 에이전트는 a를 사용합니다 프로세스 할로우 페이로드 (Md5 - BCF031AB2B43DC382B365BA3DF9F09BC) 를 cvtres.exe 에 주입하는 기술입니다.이는 Windows OS의 모든 버전에 존재하는 표준 윈도우 프로세스입니다.

AgentTesla는 XOR 알고리즘을 사용하여 구성 파일을 암호화합니다.아래 스크린샷은 xor로 인코딩된 구성 파일을 보여줍니다.

screenshot of xor encoded config file

Menlo Labs는 구성 파일을 해독할 수 있었습니다.해독된 파일은 아래와 같습니다.

screenshot of decrypted config file

해독된 파일에는 AgentTesla가 피해자 데이터를 업로드하는 FTP 서버의 CnC 세부 정보가 포함되어 있습니다.

네트워크 커뮤니케이션

테슬라 에이전트는 데이터 유출에 FTP를 사용합니다.FTPWebRequest의 경우 아래 스크린샷과 같이 도난당한 데이터를 서버로 전송하려면 FTP 서버 경로와 자격 증명이 필요합니다.

screenshot showing required ftp server path and credentials to send stolen data to server

이 스크린샷은 FTP 웹 요청을 받는 방법을 보여줍니다.

screenshot of code showing how to get FTPWebRequest
screenshot of code showing how to get FTPWebRequest

“ddd @mgcpakistan [.] com”
패스워드

screenshot of code for password

“*password*” - 보안상의 이유로 여기에 올바른 암호를 입력하지 않았습니다.

결론

Labs 팀은 이 위협 행위자 활동의 진화를 계속 모니터링할 것입니다.이 위협 행위자는 위협 환경에서 주요 역할을 하는 것으로 보이지는 않지만 정부 기관을 표적으로 삼는 것은 이들을 조심해야 하는 이유임에 틀림없습니다.

IOC

FTP

“ftp://ftp[.]mgcpakistan[.]com/”
사용자 이름: “ddd @mgcpakistan [.] com”

HTTP

cents-ability.org

이메일

be18d4fc15b51daedc3165112dad779e17389793fe0515d62bbcf00def2c3c2d
5732b89d931b84467ac9f149b2d60f3aee679a5f6b4701202ab2cd80e99

멀웨어

a7c006a79a6ded6b1cb39a71183123dcaaaa21ea2684a8f199f27e16fcb30e8e
5d649c5aa230376f1a08074aee91129b8031606856e9b4b6c6d0387f35f6629d
f950d207d33507345beeb3605c4e0adfa6b274e67f59db10bd08b91c96e8f5ad
397b94a80b17e7fbf78585532874aba349f194f84f723bd4adc79542d90efed3
7a5b8b448e7d4fa5edc94dcb66b1493adad87b62291be4ddcbd61fb4fb4f25346a8
efc0b3bfcec19ef704697bf0c4fd4f1cfb091dbfee9c7bf456fac02bcffcfedf
C846E7BBBC1F65452BDCA87523EDF0FD1A58CBD9A45E622E29D480D80AC331

106개의 FTP 파일이 공유하는 임파시:

F34D5F2D4577ED6D9CEEC516C1F5A744 (86개 파일)
61259b55b8912888e90f516ca08dc514 (10개 파일)

106개의 FTP 파일 중 등록 키 82가 열렸습니다.

HKLM\ 소프트웨어\ 마이크로 소프트\ 퓨전\ 로깅 레벨

106개 샘플 중 절반 이상이 다음과 같은 MITRE 기법을 공유했습니다.

  • Execution TA0002
  • Windows Management Instrumentation T1047
  • Privilege Escalation TA0004
  • Process Injection T1055
  • Defense Evasion TA0005
  • Disable or Modify Tools T1562.001
  • Virtualization/Sandbox Evasion T1497
  • Process Injection T1055
  • Obfuscated Files or Information T1027
  • Software Packing T1027.002
  • Masquerading T1036
  • Credential Access TA0006
  • OS Credential Dumping T1003
  • Discovery TA0007
  • System Information Discovery T1082
  • Security Software Discovery T1518.001
  • Virtualization/Sandbox Evasion T1497
  • Application Window Discovery T1010
  • Process Discovery T1057
  • Collection TA0009
  • Data from Local System T1005
  • Command and Control TA0011
  • Non-Application Layer Protocol T1095
  • Application Layer Protocol T1071

기타 유사 파일

Md5
14e4bfe2b41a8cf4b3ab724400629214
f1c29ba01377c35e6f920f0aa626eaf5
5420dcbae4f1fba8afe85cb03dcd9bfc
18e9cd6b282d626e47c2074783a2fa78
2499343e00b0855882284e37bf0fa327
0d8b1ad53fddacf2221409c1c1f3fd70
2499343e00b0855882284e37bf0fa327
0d8b1ad53fddacf2221409c1c1f3fd70
17f512e1a9f5e35ce5761dba6ccb09cb
b5c60625612fe650be3dcbe558db1bbc
a478540cda34b75688c4c6da4babf973
765f09987f0ea9a3797c82a1c3fced46
bbd003bc5c9d50211645b028833bbeb2
71b4db69df677a2acd60896e11237146
f4eebe921b734d563e539752be05931d
b4fd2d06ac3ea18077848c9e96a25142
1d3c8ca9c0d2d70c656f41f0ac0fe818
785bfaa6322450f1c7fe7f0bf260772d
2fa290d07b56bde282073b955eae573e
d70bb6e2f03e5f456103b9d6e2dc2ee7
0ede257a56a6b1fbd2b1405568b44015
fdd4cd11d278dab26c2c8551e006c4ed
dbcaa05d5ca47ff8c893f47ad9131b29
c9ca95c2a07339edb13784c72f876a60
c3b90a10922eef6d635c6c786f29a5d0
8ef7d7ec24fb7f6b994006e9f339d9af
f1c29ba01377c35e6f920f0aa626eaf5
fa4ffa1f263f5fc67309569975611640
754920678bc60dabeb7c96bfb88273de
2964ce62d3c776ba7cb68a48d6afb06e
8503b56d9585b8c9e6333bb22c610b54
eaaf20fdc4a07418b0c8e85a2e3c9b27
b6c849fcdcda6c6d8367f159047d26c4
de94d596cac180d348a4acdeeaaa9439
3f92847d032f4986026992893acf271e
ae158d61bed131bcfd7d6cecdccde79b
블로그 카테고리
태그가 지정되었습니다

Menlo Security

menlo security logo
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속