TA551 표적 악성 캠페인 세부 정보

업데이트:Menlo Labs는 이 작업에 대한 원래 분석이 2021년 11월에 수행되었음을 명확히 하고자 합니다.이 기간 동안 이 글에서 언급한 TTP는 TA551 관련 문제였습니다.이 기간 동안의 다른 분석 예시는 SANS에서 수행한 것으로, SANS의 인터넷 스톰 센터에서 모두 확인할 수 있습니다.이리과이리.2022년에는 이와 동일한 TTP 중 일부가 TA578 연결될 것으로 알고 있습니다.이에 대한 최근 분석 결과는 다음과 같습니다.팔로 알토의 유닛42. 우리는 명확한 어트리뷰션을 확립하기 위해 두 위협 행위자를 계속 모니터링하고 있습니다.

핵심 요약

멘로 랩스위협 그룹 TA551 의 새로운 표적 캠페인을 추적하고 있습니다.TA551 은 재정적 동기가 있는 범죄 위협 집단으로, 2016년경부터 멀웨어 배포 서비스를 운영해 왔다고 합니다.이 그룹은 피싱 공격 방법을 기반으로 공격의 정찰 단계에 어느 정도 초점을 맞추고 있는 것으로 보입니다.이 그룹은 표적 공격에 슬리버 멀웨어를 활용하고 있습니다.악성 페이로드는 잘 알려진 클라우드 스토리지 제공업체로부터 제공되기 때문에 악성 링크 분석을 피할 수 있습니다.따라서 팀은 이 캠페인을 다음과 같이 분류합니다. 고도로 회피적인 적응형 위협 (HEAT).

지금까지 Menlo Labs는 슬리버를 사용하여 피해자를 감염시키려는 두 번의 시도를 막았습니다.첫 번째 공격은 TA551 “Stolen Images Evidence” 피싱 캠페인의 일부였고, 두 번째 공격은 가짜 “고객 제안” 캠페인의 일부였습니다.

슬리버 멀웨어는 TA551 () 에서 악성 페이로드를 푸시하는 데 사용하는 레드팀 및 적대자 시뮬레이션 프레임워크입니다.TA551 은 이전에 Ursnif, IceDid, Qbot, Emotet을 포함하는 멀웨어 페이로드를 배포한 적이 있습니다.TA551 은 이러한 위협, 전술 및 절차 (TTP) 를 사용하여 궁극적으로 피해자에게 랜섬웨어를 퍼뜨리는 것으로 알려져 있습니다.

도난당한 이미지 증거 피싱 캠페인

이 첫 번째 공격에서 TA551 은 다양한 웹 사이트의 연락처 양식을 통해 생성된 이메일을 보냅니다.이러한 연락처 양식을 사용하면 사이트 방문자가 회사와 통신할 수 있으므로 대부분 이메일 주소를 사용할 필요가 없습니다.TA551 에서는 합법적인 Google 드라이브 링크와 함께 이러한 양식을 활용하고 있는데, 이 양식은 피해자의 자체 인프라에 있는 경우도 있습니다.이를 통해 피해자는 보호를 우회할 수 있어 위협의 회피가 매우 심합니다.

이러한 양식으로 전송된 이메일에는 메시지 본문에 악성 Google Drive 링크가 포함되어 있습니다.이 이메일은 도난당한 이미지가 저작권 위반으로 이어졌다는 증거를 받게 될 것이라고 제안하여 사용자가 링크를 클릭하도록 유도합니다.하지만 링크를 클릭하면 악성 Windows.dll을 다운로드하는 압축된 JavaScript 파일이 전달됩니다.

고객 제안 캠페인

두 번째 공격에서 TA551 공격은 서로 다른 두 개의 이메일을 보냅니다.공격자가 보낸 첫 번째 이메일은 잠재적인 신규 고객 문의처럼 보이기 위한 것입니다.당사의 평가에 따르면, 이 이메일은 대상 수신함이 모니터링되고 있는지 확인하는 데 사용됩니다.(피해자가 이메일에 응답하여) 확인을 받으면, 공격자는 “(사용자 이름) TransferNow로 파일 (프로젝트 세부 정보) 을 보냈습니다.” 라는 제목의 이메일을 다시 보냅니다.그러면 이 캠페인은 피해자에게 메시지 본문에 악성 링크가 포함된 이메일을 보냅니다.이메일은 잠재 고객이 프로젝트 정보를 보냈다는 것을 암시하여 사용자를 오도하여 링크를 클릭하도록 유도합니다.하지만 링크를 클릭하면 악의적인 단축키 LNK 파일과 악의적인.dll이 포함된 악성 ISO 파일이 전달됩니다.

감염 벡터

도난당한 이미지 증거 공격

1. 공격자는 공유된 Google 파일/드라이브로 보이는 이메일을 통해 악성 링크를 보내고 있습니다.
2. 이메일 제목은 “도난당한 이미지 증거”, “중대한 오류 보고서”, “경고: 연락처 양식 제출”입니다.
3. 사용자가 링크를 클릭하면 가짜 Google 드라이브 랜딩 페이지로 이동합니다.사용자가 이 페이지를 방문하면 Google 드라이브 로고 이미지와 공유 파일을 다운로드할 수 있는 링크가 표시됩니다.
4. 다운로드 버튼을 클릭하면 내부에 악성 JavaScript 파일이 들어 있는 악의적인.zip 파일이 다운로드됩니다.
5. 사용자가 스크립트를 실행하면 악의적인.dll을 다운로드하여 실행합니다.
6. .dll은 10.06MB이며 “AppData\ Local\ Temp\ riuQtga.dat” (Qxioyfdvub.dll) 에 저장됩니다.
7. 악성 .dll은 C2 연결을 만듭니다.
8. 뚜렷한 지속성의 징후는 없었지만 (컴퓨터를 재부팅하여 감염이 중단됨), 컴퓨터가 계속 실행되고 있는 경우 공격자는 맬웨어를 사용하여 더 많은 맬웨어를 다운로드하고 피해자의 환경에서 존재를 확립하거나 유지할 수 있습니다.

클라이언트 제안 공격

1. 공격자들은 사우디 아람코 미국 지사를 사칭하여 제품 상담을 원한다고 주장하는 가짜 이메일을 발송하고 있습니다.
2. 이메일 헤더를 검사한 결과 실제 이메일이 “porkbun [.] com” 도메인에서 온 것으로 나타났습니다.
3. 피해자가 초기 요청에 응답한 후 공격자는 공유 파일로 보이는 이메일을 통해 악성 링크를 보냅니다.
4. 이메일 제목은 “(사용자 이름) TransferNow로 파일 (프로젝트 세부 정보) 을 보냈습니다.”
5. 피해자가 링크를 클릭하면 다운로드 파일 랜딩 페이지로 이동합니다.
6. 다운로드 버튼을 클릭하면 악성.lnk 파일과 악성.dll (store.dll) 이 포함된 악의적인.iso 파일이 다운로드됩니다.
7. 피해자가 단축키.lnk 파일을 두 번 클릭하거나.iso 파일을 실행하면 악의적인.dll 파일이 실행됩니다.
8. 악성 .dll의 이름은 "Store.dll “이고 이를 실행하기 위해 로드되는 내보내기는 “StoreApp”입니다.
9. .dll은 10.06MB이며 “C:\programdata\” 파일 위치에 설치될 수 있습니다.
10. 파일을 실행하면 C2에 연결을 시도합니다.

기술적 분석

이제 이러한 공격에 사용된 두 악의적인.dll 샘플을 비교하여 Sliver 맬웨어에 대해 자세히 살펴보겠습니다.가장 먼저 알아차린 것은 파일 크기가 비슷하다는 것이었습니다.두 번째로 알아차린 점은 두 샘플 모두 내보내기로 나열된 진입점인 서수 1을 사용한다는 것입니다.나머지 내보내기는 무작위로 추출된 것으로 나타났습니다.이들 중 상당수가 분석 방지 전략인 것으로 판단됩니다.

두 번째로, 파일이 “압축”되는 방식을 살펴보았습니다.저희는 이것을 커스텀 패커로 평가합니다.두 파일 모두 일반 패커 대신 XOR 암호화를 사용하는 것으로 보입니다.XOR 키는 하드코딩되지 않았습니다.아래는 메인 UNxOR 루프의 스크린샷입니다.그러면 Golang 레퍼런스를 볼 수 있을 것입니다.

각 파일은 페이로드에 도달하기 전에 동일한 압축 해제 메커니즘을 거칩니다.파일이 페이로드에 도착하면 Sliver 프레임워크에 대한 모든 언급을 볼 수 있습니다.이러한 페이로드의 가장 큰 차이점은 URL 콜아웃인 것으로 보입니다.그 외에는 “언패킹” 루틴이 상당히 동일하다는 것을 알게 되었습니다.

두 파일의 네트워킹 정보를 살펴본 결과 다음과 같은 사실을 알게 되었습니다.

• 둘 다 포트 443을 사용했습니다.
• 두 제품 모두 동일한 자율 시스템 라벨을 사용했습니다.
• 리스 웹-미국
• 둘 다 동일한 URL 경로를 가졌습니다.
• /부트스트랩.min.js?_ =( #ID)
• /js/부트스트랩.min.js?_ =( #ID)
• /dist/underscore.min.js?_ =( #ID)
• /js/jquery.min.js?_ =( #ID)
• /jquery.min.js?_ =( #ID)

결론

TA551 측은 알려진 피해자를 대상으로 계속해서 표적 공격을 감행할 수 있으며, 멘로 연구소는 상황을 계속 모니터링할 예정이다.현재 모든 공격은 차단되었으며, 이번 기회를 통해 결과를 커뮤니티와 공유했습니다.

이 전체 감염 사슬은 매우 회피적인 것으로 보였고, TA551 역시 이 맞춤형 패커와 슬리버 멀웨어를 계속 사용할 것으로 예상됩니다. 이전에 사용된 멀웨어에 비해 VirusTotal의 탐지율 (AV 탐지를 피할 수 있음) 이 낮고 더 느리게 증가했기 때문입니다.

또한 TA551 피해자가 보유한 인프라를 계속 사용하여 공격을 지원할 가능성이 높다고 판단합니다.

IOC

파일 해시:

링크: AD2908988CB585D6FB1DC583C8F943C5BF5B4CEDD4B4BC90FD56C3FBBCD0A3CC

store.dll: ACF838CF0FE15C20F3321EEA5156E74410376542C17B22A194798CD0E054BF5D

ISO: EB83CD63B575E15173D7F117D2A890982A536D4E641AFDF52720AD00983A047F

Qxioyfdvub.dll: 60a83accaa83f6db250a3529a12e916b8f1e61d3ade506fa79aa9cc3d360db21

도난당한 이미지 Evidence.js: 4894d2c2635f5186c8ca3ab79cdb6235f805e9e0ca056c5c53d70b782a92f5c3

랜딩 페이지:

1. hxxps [://] www [.] transfernow [.] net/en/dltransfer?UTM_SOURCE=20211112J294PILV&UTM_MEDIUM=FJaymydy
2. hxxps: //storage.googleapis.com/m4b38h10cm38.appspot.com/gdrive/folders/0/public/d/490vfj4nvbf984. htmls=592801411871709187
3. hxxps: //storage.googleapis.com/m4b38h10cm38.appspot.com/gdrive/folders/0/public/d/49dfjn49vfjm. htmlid=906799687552139923
4. 위 Google URL에서 호출한 악성 도메인:
5. 104.21.91 [.] 115 - 베이코네라 [.] 탑

도난당한 이미지 Evidence.js 트래픽:

104.21.65 [.] 22 - 소볼판드 [.] top/333g100/index.php

104.21.65 [.] 22 - 소볼판드 [.] top/333g100/main.php

Qxioyfdvub.dll C2:

23.81.246 [.] 193 - nopogew [.] com: 443:443 - GET /sample.txt?_=24307128

23.81.246 [.] 193 - nopogew [.] com:443 - GET /info.txt?_=43639523

23.81.246 [.] 193 - nopogew [.] com:443 - POST /admin/login.jsp?_=34297139

23.81.246 [.] 193 - nopogew [.] com:443 - GET /underscore.min.js?_=14130295

23.81.246 [.] 193 - nopogew [.] com:443 - POST /rest/login.php?_=29759540

23.81.246 [.] 193 - nopogew [.] com:443 - GET /static/underscore.min.js?_=34644478

23.81.246 [.] 193 - nopogew [.] com:443 - GET /js/underscore.min.js?_=429465

23.81.246 [.] 193 - nopogew [.] com:443 - GET /underscore.min.js?_=42953899

23.81.246 [.] 193 - nopogew [.] com:443 - GET /jquery.min.js?_=98185060

23.81.246 [.] 193 - nopogew [.] com:443 - GET /static/underscore.min.js?_=92424842

23.81.246 [.] 193 - nopogew [.] com:443 - GET /dist/underscore.min.js?_=99992372

23.81.246 [.] 193 - nopogew [.] com:443 - GET /js/underscore.min.js?_=83694471

23.81.246 [.] 193 - nopogew [.] com:443 - GET /bootstrap.min.js?_=23925416

23.81.246 [.] 193 - nopogew [.] com:443 - GET /jquery.min.js?_=69790205

23.81.246 [.] 193 - nopogew [.] com:443 - GET /underscore.min.js?_=66973448

23.81.246 [.] 193 - nopogew [.] com:443 - GET /static/bootstrap.min.js?_=16343884

23.81.246 [.] 193 - nopogew [.] com:443 - GET /dist/bootstrap.min.js?_=66112726

DLL C2를 저장하십시오.

172.241.27 [.] 209 - hxxps [://] kirute [.] com:443 - GET /bootstrap.min.js?_=12990835

172.241.27 [.] 209 - hxxps [://] kirute [.] com:443 - GET /js/bootstrap.min.js?_=25686874

172.241.27 [.] 209 - hxxps [://] kirute [.] com:443 - GET /dist/underscore.min.js?_=77257874

172.241.27 [.] 209 - hxxps [://] kirute [.] com:443 - GET /js/jquery.min.js?_=61206031

172.241.27 [.] 209 - hxxps [://] kirute [.] com:443 - GET /jquery.min.js?_=57202607

이메일:

abdul.jabbar @porkbun [.] com