Trellix Threat Labs 연구 보고서: 2022년 4월

수석 과학자로부터의 편지

최신 위협 보고서에 오신 것을 환영합니다.

새로운 해의 4분의 1이 지난 지금, 한 해의 시작이 순조로웠다고 해도 과언이 아닐 것입니다. 우리는 서서히 팬데믹에서 벗어나고 있지만, 최근 유라시아 지역의 분쟁을 둘러싼 불확실성이 우리의 일상과 대화를 지배하고 있습니다.

우선 Trellix는 평화를 지지합니다. 어떤 당사자가 분쟁에 연루되어 있든 Trellix의 임무는 고객을 보호하고 국제법을 준수하는 것입니다. 이 보고서를 준비하는 동안 Trellix의 연구와 경계는 계속되었습니다. 예를 들어 Lapsus$ 그룹은 초기에 남미 피해자들에게 초점을 맞춰 전 세계 주요 기업을 공격하여 소스 코드와 인증서를 포함한 중요한 데이터를 유출했습니다.

Trellix는 이러한 인증서가 남용되는 것을 목격했습니다. 운영 체제 및 보안 제품에 대한 신뢰를 우회하려는 방법인 맬웨어 바이너리에 서명하는 것이 그 예입니다. 이 그룹의 세부 정보, 최신 위반 사항 및 대응 조치는 여기에서 확인할 수 있습니다.

새로운 회사 출범 이후 두 번째 위협 보고서에서 Trellix는 전 세계 헤드라인을 장식한 (사이버) 사건을 인정합니다. 우크라이나의 인프라에 대한 공격에서부터 감염된 시스템의 부트 섹터를 파괴하는 HermeticWiper 맬웨어에 이르기까지, 사이버 보안은 새해에 많은 사람들에게 최우선 과제였습니다. 또한 Log4shell 취약성이 수억 개의 기기에 영향을 미치고 많은 사람들이 새해에 다가올 새로운 위협에 대비했던 2021년 4분기를 되돌아봅니다.

Trellix Threat Labs 팀은 수년 동안 랜섬웨어를 분석하고 연구하는 최전선에 있었습니다. 공공 부문과 함께 일하면서 2021년 12월에 공격자를 체포하고 랜섬웨어 작업이 중단되었을 때 성공을 축하하게 된 것을 자랑스럽게 생각합니다. Conti 랜섬웨어 그룹과 Trickbot 맬웨어 그룹의 최근 채팅 유출 사건은 이러한 작업이 얼마나 전문적으로 수행되는지 보여줍니다. 이러한 공격의 중단을 막기 위해 공공 부문과 민간 부문 간의 통합된 답변이 필요함을 알 수 있습니다.

추가적으로 최신 위협 콘텐츠, 동영상 및 보안 게시판 링크가 포함된 Trellix Threat Labs 블로그 페이지를 확인하십시오.

이 보고서는 다른 만연하고 널리 퍼진 위협 및 공격도 집중 조명하고 있습니다.

—Christiaan Beek
수석 과학자

Christiaan Beek Twitter

Trellix 연구소, 의심되는 DarkHotel APT 활동 업데이트 발견

지난 3월, Trellix는 2021년 11월 하반기부터 중국 마카오의 고급 호텔을 노리는 1단계 악성 캠페인을 발견했습니다. 이러한 공격은 인사관리 부사장, 부매니저, 프런트 오피스 매니저와 같은 역할을 수행하는 호텔 관리 직원에게 보내는 스피어 피싱 이메일로 시작되었습니다. 직책에 따라 타겟팅된 개인이 도서 시스템을 포함한 호텔 네트워크에 충분히 액세스할 수 있다고 가정할 수 있습니다. 작동 방식은 다음과 같습니다.

• 이 스피어 피싱 공격에 사용된 이메일에는 Excel 시트가 포함된 첨부 파일이 있습니다. Excel 시트는 피해자를 속이고 열려 있을 때 포함된 악성 매크로를 활성화하는 데 사용됩니다.
• 이러한 매크로를 사용하면 여러 메커니즘이 활성화됩니다. 이는 기술 분석 파트에 자세히 설명되어 있고 아래의 감염 흐름도에 요약되어 있습니다.
• 처음에 매크로는 인식, 데이터 나열 및 데이터 추출을 수행하는 예약 작업을 생성합니다.
• 그런 다음 피해자 데이터를 추출하는 데 사용되는 커맨드 앤 컨트롤(명령 및 제어) 서버와의 통신을 활성화하기 위해 매크로는 알려진 lolbas(Living Off the Land Binaries and Scripts) 기술을 사용하여 PowerShell 명령줄을 신뢰할 수 있는 스크립트로 수행합니다.

DarkHotel APT의 배경, 특성, 캠페인 및 기술 분석에 대한 자세한 내용을 확인하려면 당사 블로그를 읽어보십시오.

Trellix Threat Labs, 수상실에 침투한 위협 감지

지난 1월, 당사의 팀은 서아시아에서 국가 보안 정책을 감독하는 고위 공무원과 방위 산업 종사자들을 대상으로 하는 다단계 첩보 캠페인을 식별했다고 발표했습니다. Trellix는 피해자에게 사전 릴리스 공개를 실시하고, 피해자들의 환경에서 알려진 모든 공격 구성 요소를 제거하는 데 필요한 모든 콘텐츠를 제공했습니다.

공격 프로세스의 분석은 MSHTML 원격 코드 실행 취약성(CVE-2021-40444)에 대한 익스플로잇이 포함된 Excel 파일의 실행으로 시작됩니다. 이것은 Graphite라고 부르는 3단계 맬웨어의 다운로더 역할을 하는 악성 DLL 파일을 실행하는 데 사용됩니다. Graphite는 Microsoft Graph API를 통해 OneDrive 계정을 명령 및 제어 서버로 활용하는 One-Drive Empire Stager를 기반으로 새로 발견된 맬웨어 샘플입니다.

APT 작업과 관련이 있다고 생각되는 이 다단계 공격의 마지막 단계에는 서로 다른 Empire Stager를 실행하여 최종적으로 피해자의 컴퓨터에 Empire 에이전트를 다운로드하고 커맨드 앤 컨트롤(명령 및 제어) 서버를 사용하여 시스템을 원격으로 제어하는 것이 포함됩니다.

다음 다이어그램은 이 공격의 전체 프로세스를 보여줍니다.

단계, 인프라, 특성을 포함한 더욱 심층적인 분석을 확인하려면 당사 블로그를 읽어보십시오.

방법론

Trellix의 백엔드 시스템은 분기별 위협 보고서에 대한 입력으로 사용하는 원격 측정 기능을 제공합니다. Trellix는 위협에 대한 오픈 소스 인텔리전스 및 랜섬웨어, 국가 활동 등과 같은 널리 퍼진 위협에 대한 자체 조사와 원격 측정을 결합합니다.

원격 측정에 대해 이야기할 때 Trellix는 감염이 아닌 탐지에 대해 이야기합니다. 탐지란 파일, URL, IP 주소 또는 기타 표시기가 당사 제품 중 하나에서 탐지되어 당사에 다시 보고되는 경우를 일컫습니다.

고객의 개인 정보는 매우 중요합니다. 원격 측정 및 이를 고객의 섹터 및 국가에 매핑하는 경우에도 중요합니다. 국가별로 클라이언트 기반이 다르며 숫자가 증가를 나타낼 수 있지만 이를 설명하려면 데이터를 더 자세히 살펴보아야 합니다. 예를 들어 통신 섹터는 데이터에서 항상 높은 점수를 받고 있습니다. 이는 이 섹터가 반드시 고도로 타겟팅되어 있다는 의미는 아닙니다. 통신 섹터에는 회사가 구매할 수 있는 자체 IP 주소 공간과 ISP 공급자가 포함됩니다. 이는 무엇을 의미합니까? ISP의 IP 주소 공간에서 제출된 항목은 통신 탐지로 표시되지만 다른 섹터에서 작동하는 ISP 클라이언트에서 전송된 것일 수 있습니다.

랜섬웨어

2021년 4분기에도 랜섬웨어 환경은 계속해서 변화했습니다. 이전 보고서에서 설명한 대규모 공격 대신 랜섬웨어 공격자들은 새로운 지하 주거지를 찾아야 했고, 법 집행 기관은 몇몇 유명 랜섬웨어 그룹을 단속하기 시작했습니다. 이러한 그룹 중 하나는 REvil/Sodinokibi로, 3분기에도 여전히 상위 랜섬웨어 제품군 중 하나로 꼽혔습니다. 그러나 REvil은 조직적인 인프라 철거, 여러 번의 내부 분쟁, 그리고 구성원이 체포된 후 무대를 떠났습니다. Trellix는 맬웨어 분석을 제공하고, 주요 인프라를 찾아내고, 여러 명의 용의자를 식별함으로써 REvil 조사를 지원한 것을 자랑스럽게 생각합니다.

2021년 4분기의 상위 3개의 랜섬웨어는 Lockbit, Cuba, Conti 랜섬웨어였습니다. Trellix는 REvil의 나머지 구성원이 이러한 랜섬웨어 제품군과 함께 새 집을 찾았을 것이라고 추측합니다.

이 보고서의 잉크가 채 마르기도 전에 환경이 또다시 바뀌었습니다. 가장 큰 제품군 중 하나로 성장한 Conti는 수천 개의 내부 채팅 내역을 인터넷에 유출하여 내부 비밀을 폭로했습니다. Trellix는 이 유출 사건을 랜섬웨어의 Panama Papers라고 불렀으며 다음 분기 보고서에서 당사의 조사 결과를 강조할 것입니다.

기업이 위협 상황에서 랜섬웨어 공격을 더 잘 이해하고 방어할 수 있도록 Threat Labs 팀은 2021년 4분기부터 제품군, 기술, 국가, 섹터 및 벡터를 포함한 다양한 랜섬웨어 위협의 확산에 대한 연구 및 발견을 제공합니다.