Blog

산업계 OT 환경을 목표로 삼는 공격의 첫 단추 - 이메일 피싱

Daniel Kapellmann Zafra, Ken Proska, Corey Hildebrandt, Keith Lunden, Nathan Brubaker
Jan 17, 2023
12 min read
|   Last updated: Jul 26, 2023
Operational Technology
ICS
phishing
email

피싱(Phishing)은 맬웨어를 전달하여 피해자의 네트워크에 접근하는 데 있어 가장 널리 쓰이는 기술 중 하나입니다. 공격자가 피싱을 선호하는 이유는 공격 기법이 쉽고 단순하고, 대량의 잠재 피해자를 동시에 노릴 수 있을 정도로 확장성이 뛰어나고, 사회공학적 기법을 통해 인간 행동의 취약점을 이용하다 보니 공격 효율성이 높기 때문입니다. 이런 특성으로 인해 피싱은 그 개념과 위험에 대한 인식이 널리 퍼져 있고, 각종 탐지 도구를 조직들이 이용함에도 여전히 신경이 쓰이는 공격입니다.

맨디언트는 에너지, 제조, 수도 같은 산업 부문에서 일상적으로 쓰는 용어와 표현이 포함된 피싱 이메일을 퍼뜨리는 공격자들을 정기적으로 관찰합니다. 특정 산업의 이슈를 미끼로 활용하는 피싱 이메일을 공격자가 보낸다는 것은 공격자의 목표가 뚜렷하다는 것을 뜻합니다. 이를 감안할 때 피싱 공격으로 인해 산업계의 OT(Operation Technology) 환경을 목표로 삼는다는 것이 당장 피부에 와닿지 않을 수 있지만 빠르게 발전하는 공격 기술과 기법을 고려할 때 피싱으로 시작된 위협이 OT 환경에 광범위하게 영향을 줄 수 있다고 볼 수 있습니다.

본 포스팅은 2022년에 전 세계 조직에 발송된 1,700개 이상의 산업계를 주제로 삼은 피싱 샘플 데이터 세트 분석에 대한 내용을 다룹니다. 수백만 개의 샘플을 찾고 OT 및 산업 프로세스 관계자를 노린 피싱을 식별하기 위해 맨디언트는 각 산업 관련 키워드 컬렉션을 활용해 데이터 세트를 구축하였습니다. 이를 참조하면 OT 환경을 보호하는 보안 담당자는 중요 프로덕션 시스템에 영향을 줄 수 있는 잠재적인 위험성이 높은 공격 시도에 집중할 수 있습니다.

중요 시스템을 모리는 공격의 출발점

OT 자산을 소유한 조직의 경우 자사가 속한 산업계의 운영자, 엔지니어 및 기타 전문가를 노린 사이버 스파이 캠페인의 일환으로 진행되는 피싱만 위협으로 인식합니다. 이처럼 특정 직군의 사용자를 목표로 삼은 피싱에 집중하는 것도 중요하지만 너무 한쪽만 바라보면 잠재적으로 위험이 될 수 있는 여러 대상으로 타깃으로 삼는 대규모 피싱을 소홀하게 대할 우려가 있습니다. 조직을 위험에 빠뜨릴 수 있는 피싱에 대한 방어 태세를 높이려면 우선 산업계를 노리는 피싱 공격에 대한 올바른 이해가 필요합니다.

  • 피싱 캠페인은 피해자를 현혹하기 위해 얼마나 정교한 기법을 동원하는지, 어떤 도구를 사용하는지, 공격 대상의 범위가 어느 정도인지에 따라 그 성격이 다릅니다. 공통점이 있다면 대부분의 피싱 공격은 초기 침투를 위한 발판 마련이 목표이다 보니 공격자가 어떤 의도와 목표를 갖고 침투하려고 하는지가 겉으로 잘 드러나지 않는다는 것입니다. 특정 피해자를 대상으로 하지 않고 배포되는 단순해 보이는 BEC(Business Email Compromise) 같은 피싱은 초기 침투 성공 후 랜섬웨어 배포, 스파이 활동, 데이터 유출, 시스템 가동 중단 같은 물리적 공격 등 처음에는 알 수 없는 전혀 다른 양상으로 위협이 진행될 수 있습니다.
  • 특정 산업을 주제로 삼은 피싱 이메일은 일상적인 업무 용어와 표현을 사용합니다. 따라서 OT 관련 시스템을 업무에 활용하는 직원에게 이메일이 전달될 경우 매우 위험합니다. 가령 '선하 증권'이라는 제목의 이메일은 해상 운송 담당자의 관심을 끕니다. 반면에 BOM(자재 명세서) 같은 단어가 제목에 들어간 이메일은 엔지니어 또는 프로젝트 관리자의 관심을 끕니다.
  • 피싱 캠페인을 수행하는 위협 행위자가 목표로 삼은 산업계에 충분한 전문 지식이 없어도 공격이 가능합니다. 공격자는 다른 행위자가 만든 각종 컨텐츠, 도구 등을 손쉽게 공유 또는 구매할 수 있습니다. 랜섬웨어의 경우 여러 위협 행위자가 각자 다른 부분을 담당해 필요한 요소들을 채워나가는 제휴 모델(affiliation models)을 기반으로 한 공격을 자주 관찰할 수 있습니다. 피싱 역시 비슷하게 공격자 커뮤니티 사이에서의 협조와 협력을 통해 공격에 필요한 것들을 준비할 수 있습니다.
  • 피싱 공격에 대비하고, 위협이 가해질 때 탐지하고 대응하는 것은 OT 보안 담당자의 업무 범위를 벗어나는 일이라고 보는 경향이 있습니다. 그러나 피싱 공격의 피해가 중요 프로덕션 시스템까지 이어질 수 있다는 것을 안다면 생각을 바꾸어야 합니다. OT 보안 담당자도 공격자자 OT 시스템 및 주요 자산에 공격자가 도달하지 못하도록 방지하는 활동을 해야 합니다.

2022년 산업계를 노린 피싱 이메일

OT에 영향을 끼칠 수 있는 피싱 활동을 찾는 방법 중 하나는 특정 산업에서 사용하는 전문 용어를 기준으로 미끼 및 이메일 내용을 조사하는 것입니다. 맨디언트는 산업별 키워드 목록을 사용해 데이터를 필터링합니다. 이렇게 해서 산업 테마 피싱 이메일을 찾아 매주 결과를 보고합니다. 참고로 키워드 목록에는 OT 프로세스, OEM, 기술, 장비 및 해당 산업 관련 비즈니스 등 다양한 관련 용어가 포함되어 있습니다.

본 포스팅에서는 2022년 유명 맬웨어 분석 리포지토리에서 수집한 1,733개의 피싱 이메일 모음(그림 1) 및 이에 대한 맨디언트의 분석 내용을 소개하려 합니다. 맨디언트는 샘플에서 1,019개의 서로 다른 페이로드를 복구했고, 가능할 때마다 각 샘플과 관련된 맬웨어를 확인했습니다. 맨디언트의 컬렉션은 대규모 소스를 참조로 한 것입니다. 따라서 모든 피싱 공격에 대한 내용을 담고 있지는 않습니다. 컬렉션의 크기는 맨디언트가 참조한 유명 맬웨어 분석 리포지토에 올라온 샘플 수로 제한됩니다. 또한, 맨디언트가 분석한 샘플은 하나 이상의 조직에서 하나 이상의 피해자에게 사용되었을 수 있다는 것도 밝혀 둡니다.

2022년 한 해 동안 식별된 이메일은 시기에 따른 패턴을 보이지는 않습니다. 3월에 활동이 크게 증가한 것으로 나타났지만 이는 리포지토리에 제출된 이메일 수 같은 외부 요인에 의한 것일 수도 있습니다. 참고로 맨디언트는 시기에 따른 특성을 파악하기 위해 시계열 분석을 따로 하지는 않았습니다.

Industrial-themed phishing emails observed in 2022
그림 1. 2022년에 관찰된 산업 테마 피싱 이메일

대형 공격 포착

산업을 테마로 삼은 피싱 샘플을 분석한 결과 총 34개의 서로 다른 맬웨어 계열이 발견되었으며, 이중 다수는 광범위하게 배포되어 다양한 유형의 침해에 쓰인 것이었습니다. AGENTTESLA, FORMBOOK, REMCOS 같은 도구는 효율성이 높고 무료로 쉽게 살 수 있다 보니 공격 동기를 가진 위협 행위자들이 애용합니다.

방어자는 쉽게 구해 쓸 수 있는 일부 맬웨어 계열은 대충 보아 넘기고 싶은 유혹을 느낄 수 있습니다. 아무래도 알려져 있다 보니 특별히 신경 쓰지 않아도 탐지할 수 있다고 생각할 수 있기 때문입니다. 그러나 이런 맬웨어 계열도 공격자에 따라 탐지를 피할 수 있도록 정교한 기술로 잘 포장해 활용하는 사례가 적지 않습니다. 다음 차트는 산업 테마 피싱 미끼와 함께 배포된 것으로 관찰된 일반적인 맬웨어입니다. 각 맬웨어에 대한 자세한 설명은 부록을 참조 바랍니다.

Breakdown of malware families observed in industrial-themed phishing emails in 2022
그림 2. 2022년 산업 테마 피싱 이메일에서 관찰된 맬웨어 계열
  • 맨디언트가 문서로 정리한 맬웨어 계열 중 일부는 다양한 표준 기능을 지원하는 완전한 기능을 갖춘 백도어였습니다. 반면에 나머지 맬웨어는 자격 증명 수집, 추가 리소스 다운로드, 데이터 마이닝 같은 한두 가지 기능만 수행하는 것이었습니다. 가령 일부 맬웨어 계열은 자격 증명 도용에 중점을 두는 반면 다른 계열은 위협 행위자가 대상 환경과 직접 상호 작용을 할 수 있도록 합니다.
  • 맬웨어 계열은 때때로 사용자 지정이 가능하고, 바이러스 백신의 탐지를 피하기 위해 외부 크립터(Crypter) 또는 패커(Packer)와 짝을 이룰 수 있습니다.
  • 맬웨어 중 일부는 오랫동안 RAT(원격 트로이 목마) 방식으로 피해 시스템에 머물면서 비디오 및 오디오 데이터를 수집할 수 있는 기능도 포함되어 있었습니다. 이런 도구는 리소스가 풍부한 위협 행위자가 주로 사용합니다.

산업을 주제로 한 피싱 이메일은 때로는 정교하지만, 때로는 그렇지 않다!

맨디언트는 캠페인의 범위, 규모, 복잡성, 이메일 내용, 페이로드의 정교함 같은 여러 요소를 고려해 피싱 이메일 샘플을 분석하였습니다. 분석 과정에서 다양한 수준의 정교함을 보인 피싱 이메일을 관찰할 수 있었습니다. 일부 공격자는 실제 OT를 주제로 한 잘 만들어진 미끼와 내용을 개발하였습니다. 몇몇은 문법 오류나 형식 오류같이 일반적인 피싱 이메일에서 볼 수 있는 특성을 보이기도 하였습니다. 이외에도 자동화된 방법을 사용해 이메일 회신을 가로채는 공격자도 볼 수 있었습니다.

대부분의 샘플은 일괄 배포되었다는 것을 알 수 있는 증거가 있었습니다. 그리고 일부는 맨디언트가 위협 클러스터라고 부르는 수준이었습니다. 여러 행위자가 조직적으로 움직이고, 공동의 노력을 기울여 정교한 공격을 시도하였습니다. 예전에 맨디언트는 특정 피싱의 배후로 APT1, APT3, APT10, APT17, TEMP.Isotope, Conference Crew(UNC39), UNC631, UNC1151 같은 위협 행위자를 식별하였습니다. 그러나 이번 분석에서는 샘플 피싱 이메일과 사이버 스파이 캠페인을 연관 지어 식별하지는 못했습니다.

Industrial-themed phishing actor comparison
표 1. 산업 테마 피싱 공격자 비교

위협 클러스터

피싱 이메일 배포 위협 클러스터는 여러 피해자에게 맬웨어 페이로드를 전달하는 것으로 의심되는 사이버 범죄 활동 집합체입니다. 피싱 이메일 배포 위협 클러스터는 맨디언트가 분석한 샘플의 일부를 사용한 것으로 보입니다. 이들 샘플은 공격자가 피해자 네트워크에서 후속 활동을 하기 위한 문을 열어주는 역할을 합니다. 일단 초기 침투의 문을 열어 주게 되면 랜섬웨어 배포 등 피해가 발생합니다. 랜섬웨어는 단순히 재정적 피해를 주는 것을 넘어 경우에 따라 산업계의 경우 생산에 차질을 주기도 합니다. 2022년 관찰된 일부 피싱 이메일 배포 위협 클러스터는 다음과 같습니다.

위협 클러스터

설명

UNC 2420

MOTEISLAND, REDISLAND, MOUSEISLAND 같은 1단계 로더가 포함된 악성 마이크로소프트 워드 문서를 배포하는 위협 클러스터입니다. 합법적으로 오가는 이메일 발신과 수신 과정으로 보이는 제목을 사용해 악의적인 ZIP 또는 DOC 첨부 파일을 전달합니다. 초기 침투 후 이 위협 클러스터는 SNOWCONE.PHOTOLOADER 및 SNOWCONE.GZIPLOADER(ICEDID로 이어짐), VIDAR, REDLINESTEALER, SLIVER, BAZARLOADER, QAKBOT, URSNIF, TRICKBOT, ADSLOAD 및 VALAK를 배포하는 것으로 관찰되었습니다.

UNC 2500

QAKBOT, NUTWAFFLE, SMOKELOADER, BEACON, SYSTEMBC, URSNIF, SNOWCONE.PHOTOLOADER, SNOWCONE.GZIPLOADER(ICEDID로 이어짐) 같은 맬웨어 페이로드를 다운로드 하는 마이크로소프트 워드 또는 엑셀 파일이 포함된 ZIP 파일을 배포하기 위해 첨부 파일 및 본문 내 손상된 웹 사이트 링크가 포함된 피싱 이메일을 배포하는 위협 클러스터입니다.

UNC 2603

'Master Mana Services'라는 이름으로 배포 서비스를 제공하는 위협 클러스터입니다. 피해자를 유명 블로그 호스팅 웹 서비스로 리다이렉션 하거나 악성 페이로드가 포함된 사이트를 붙여 넣는 URL 단축 서비스로 연결하는 악상 매크로가 적용된 마이크로소프트 오피스 문서가 포함된 이메일을 전달합니다.

UNC2633

QAKBOT, SNOWCONE.GZIPLOADER(ICEDID로 연결됨) 및 MATANBUCHUS 같은 맬웨어 페이로드로 연결되는 악성 첨부 파일이나 링크가 포함된 이메일을 전달하는 위협 클러스터입니다. 역사적으로 볼 때 이 위협 클러스터는 맬웨어 페이로드를 다운로드 하는 악성 엑셀 문서가 포함된 ZIP 파일을 배포했습니다. 또한, LNK 파일과 맬웨어 페이로드가 포함된 IMG 파일이 포함된 ZIP 파일 배포를 위해 HTML 스머글링(smuggling) 공격도 하였습니다.

UNC3443

EMOTET 페이로드 배포를 위해 첨부 파일 또는 링크가 포함된 이메일을 전달하는 위협 클러스터입니다. 첨부 파일에는 마이크로소프트 워드 또는 엑셀 문서가 포함된 암호로 보호되는 ZIP 파일이나 악의적인 매크로가 적용된 워드나 엑셀 문서 첨부 파일을 보냅니다. 악의적인 문서를 열면 손상된 웹 사이트에서 EMOTET 페이로드가 다운로드됩니다. EMOTET 배포는 2021년 초 법 집행 기관의 노력 후 잠잠해졌다가 2021년 11월 다시 시작되었습니다.

표 2. 2022년 산업계를 노린 피싱 이메일 배포 위협 클러스터의 예

피싱 이메일 배포 위협 클러스터는 정교한 TTP(기술, 전술, 절차)를 사용해 페이로드를 전달하기도 합니다.

  • 페이로드 전달을 위해 합법적인 이메일 회신처럼 보이는 제목과 내용을 사용해 빠르게 진행하는 캠페인
  • 시기적절하거나 선정적인 문구와 주제를 사용하고, 높은 수준의 미끼를 자동으로 생성
  • 과도한 난독화나 바이너리 압축/암호화를 적용한 사용자 정의 기반 맬웨어 사용
  • 다단계 감염 체인을 사용해 페이로드 전달
  • 탐지 및 속성 회피를 위한 TTP 및 인프라 사용
Example of email lure and payload from Distribution Threat Cluster (UNC2420)
그림 3: Distribution Threat Cluster(UNC2420)의 이메일 유인 및 페이로드 예

순진한 피해자를 노리는 품질이 낮은 피싱

산업계를 노린 피싱 이메일 샘플의 대부분은 한꺼번에 배포된 특징이 있습니다. 특정 이슈나 시기를 노리는 기회주의적인 시도의 경우 이메일 보안, 엔드포인트 보안 솔루션에 쉽게 탐지되는 방법을 쓰기도 합니다. 이 경우 BEC, 자격 증명 피싱, 배송 사기, IT 원격 접근 같은 일반적인 금융 범죄 수법과 관련이 있습니다. 이 범주에 속하는 위협 클러스터가 사용하는 TTP의 특징은 다음과 같습니다.

  • 난독화를 하지 않고 실행 파일 같은 페이로드를 직접 첨부
  • 사회공학적 고려를 하지 않은 단순한 미끼 사용, 종종 오탈자나 문법 오류도 관찰됨
  • 누구나 자유롭게 사용할 수 있는 도구와 맬웨어 페이로드 사용

기회주의적인 피싱 이메일을 배포하는 것과 관련된 위협 클러스터는 일반적으로 특정 산업이나 기업에 관심이 없어 보입니다. 이런 유형의 위협 클러스터는 대량 배포한 피싱 이메일 중 운 좋게 산업계 OT 환경에 접근할 수 있는 케이스의 피해자가 생길 경우 이를 산업계를 목표로 삼는 다른 위협 행위자에게 접근 권한을 판매하여 이익을 도모합니다.

산업계를 대상으로 하는 피싱 시도 추적

OT 보안 담당자는 피싱 이메일 탐지와 헌팅 방법을 재고해야 합니다. OT 환경의 위험을 초래할 수 있는 피싱 시도의 메커니즘을 이해하고 이를 보안 운영에 적용하면 프로덕션 환경의 생산에 영향을 끼칠 수 있는 잠재적 위험을 완화하는 데 도움이 됩니다. 관련해 다음 권장 사항을 참조 바랍니다.

  • OT 환경에서 위협 모델링을 수행하고, 위협 행위자가 노리는 중요 OT 시스템 및 자원에 접근할 수 있는 내부 사용자와 그룹을 식별합니다.
  • 위협 인텔리전스를 사용하여 공격자의 일반적인 초기 접근 수법과 공격자가 사용하는 운영 인프라 그리고 조직이 속한 산업계를 대상으로 진행되는 캠페인에 대해 알아보세요. 피싱 이메일 배포를 추적하고 첨부 문서 파일이나 이메일 제목과 본문 등에 대한 패턴을 파악하고 이를 전제로 모니터링을 합니다. 모니터링 관련해 신뢰할 수 없는 기관의 이메일에 주의를 기울여야 합니다. 더불어 조직이 속한 산업계를 목표로 하는 위협 클러스터의 유형과 특징을 이해하고 그들이 사용하는 TTP에 익숙해져야 합니다.
  • 위협 인텔리전스 및 위협 모델링에서 얻은 통찰력을 바탕으로 OT 관련 피싱 시도를 식별합니다. 가능하면 조직을 목표로 삼을 확률이 높은 공격자가 사용하는 TTP에 초점을 맞추어 OT 인프라에 인접한 네트워크에 탐지 기술을 배포합니다.
  • 위협 행위자가 초기 접근 단계에서 탐지를 회피했을 경우 이를 나타낼 수 있는 공격 도구 및 권상 상승이나 자격 증명 덤핑 같은 침해 지표를 찾으십시오.
  • 자격 증명이 도용으로 데이터가 유출될 수 있는 경우를 대비할 수 있는 대응 계획을 수립합니다.

부록

맬웨어 계열

설명

AGENTTESLA

키 입력, 클립보드 데이터, 카메라 이미지 및 스크린샷을 캡처할 수 있는 .NET 기반 자격 증명 도용 맬웨어입니다. 웹 브라우저, FTP 클라이언트 및 이메일 클라이언트 등 애플리케이션에 포함된 자격 증명을 대상으로 합니다. HTTP, SMTP, FTP, 텔레그램, Tor 프록시 유틸리티를 통해 데이터를 유출하도록 구성할 수 있습니다. 일부 변형은 USB 드라이브를 통해 전파되도록 구성할 수 있습니다.

ASYNCRAT

TCP를 통해 사용자 지정 바이너리 프로토콜을 사용해 통신하는 .NET 기반 백도어입니다. 이 백도어는 쉘 명령을 실행하고 플러그인을 다운로드하여 기능을 확장할 수 있습니다. 다운로드 한 플러그인은 메모리에서 직접 실행하거나 레지스트리에 저장할 수 있습니다. 플러그인을 통해 추가할 수 있는 기능으로는 스크린샷 캡처, 파일 전송, 키로깅, 비디오 캡처, 암호화폐 채굴 등이 있습니다. 이외에도 파이어폭스 및 크로미엄 브라우저에 저장된 자격 증명을 노리는 플러그인도 지원합니다.

BLUSTEALER

피해자의 브라우저 및 장치의 파일시스템에서 자격 증명과 전자 지갑을 마이닝 하는 자격 증명 탈취용 맬웨어입니다.

EMOTET

HTTP를 통해 C2 서버와 통신하고 키 교환 및 메시지 인증을 위해 암호화를 사용하는 C/C++ 언어로 작성한 다운로더입니다. 이 맬웨어는 자체 기능을 확장하는 모듈과 맬웨어 두 가지 유형을 페이로드를 검색합니다. 다운로드 한 모듈과 보조 페이로드는 메모리에서 실행할 수 있습니다. 더불어 C2 서버에서 보낸 명령으로 디스크에서 보조 페이로드를 다운로드 하고 실행할 수도 있습니다. 참고로 확장 모듈은 시간이 지나면서 점점 다양해졌습니다.

FORMBOOK

HTTP로 통신하는 C 언어로 작성한 백도어입니다. 지원되는 명령에는 스크린샷 캡처, 쉘 명령 실행, 파일 다운로드 및 파일 실행이 있습니다. 또한, 키 입력을 캡처하고, 클립보드를 모니터링 하고, 브라우저 쿠키를 훔치고, 브라우저 및 이메일 클라이언트의 자격 증명 및 계정 정보를 가로챕니다.

FORMBOOK (Xloader)

FORMBOOK의 변종으로 네트워크 트래픽에 사용되는 문자열 변경, RC4 암호화 계층 추가, 더 많은 미끼 도메인 및 C2 서버 구성 스토리지의 일부 변경 등의 차이가 있습니다.

GULOADER

다운로드 역할을 하는 쉘 코드입니다. 페이로드는 HTTP를 통해 검색됩니다. 지원되는 페이로드 유형으로는 실행 파일, DLL, 쉘 코드가 있습니다. 다운로드 된 페이로드는 실행 전에 디스크에 기록되거나 메모리에 매핑될 수 있습니다.

LOKIBOT

브라우저, 암호 관리자, 이메일 클라이언트, FTP 클라이언트 등 수많은 애플리케이션의 자격 증명 도용을 위해 C/C++ 언어로 개발한 맬웨어입니다. 이외에도 암호화폐 지갑을 수집하고, 키 입력을 캡처하고, 추가 페이로드 검색 기능도 갖추고 있습니다. 수집한 데이터는 HTTP를 통해 업로드 합니다.

MATIEX.SNAKELOGGER

MATIEX의 변형입니다. 이 맬웨어는 브라우저, 이메일 클라이언트, 인스턴스 메시징 소프트웨어, FTP 클라이언트에서 자격 증명을 추출합니다. 또한, Wi-Fi 자격 증명을 수집하고, 키 입력, 스크린샷과 클립보드 데이터를 캡처하도록 구성할 수도 있습니다. MATIEX와 달리 이 맬웨어는 마이크로 입력되는 오디오를 녹음할 수 없으며 Discord Webhooks로 통신할 수도 없습니다. 수집한 데이터는 SMTP, FTP, 텔레그램 봇, API로 원격 서버에 업로드 합니다.

MODILOADER

일반적인 인코딩 된 스테이저/로더를 다운로드 하는 델파이로 만든 맬웨어입니다. 이 스테이저 DLL은 생성된 프로세스에 페이로드를 주입합니다.

NANOCORE

TCP를 통해 사용자 지정 바이너리 프로토콜을 사용하는 .NET 기반 백도어입니다. 핵심 기능에 플러그인 관리 시스템을 통한 기능 확장도 포함됩니다. 다운로드 한 플러그인은 메모리에 직접 매핑 되어 실행됩니다. 또한, 로컬에 저장도 가능합니다. 플러그인을 통해 추가된 기능에는 마우스와 키보드를 사용한 전체 시스템 제어, 웹캠 비디오 및 오디오 캡처, 키로깅 및 리버스 쉘 생성이 있습니다.

QAKBOT

내장 및 다운로드 플러그인을 통해 기능을 확장하는 플러그인 프레임워크를 구현하는 C/C++ 언어로 개발한 백도어입니다. HTTP, HTTPS, TCP를 통한 사용자 지정 바이너리 프로토콜을 사용해 통신합니다. 하드코딩 된 C2 서버 연결 시도가 실패하면 도메인 생성 알고리즘(DGA)를 사용해 C2 서버 URL을 생성할 수 있습니다. 주요 기능으로 키로깅, 파일 전송, 파일 실행 및 프로세스 종료 등이 있습니다. 이외에도 브라우저 활동을 가로채고, 브라우저 세션에 맬웨어를 주입하고, 이메일과 FTP 클라이언트에 저장된 자격 증명을 추출하는 기능도 제공합니다. 실제로 관찰에 따르면 이 백도어는 VNC 플러그인, 아웃룩 이메일 수집기, 프록시 플러그인 및 브라우저 쿠키 스틸러를 다운로드 하였습니다. 프록시 플러그인을 사용하면 다른 QAKBOT에 감염된 시스템에서 QAKBOT컨트롤러로 트래픽을 프록시 할 수 있습니다. 또한, BEACON 백도어 페이로드를 검색하는 플러그인을 다운로드 하는 것도 관찰되었습니다. 이외에도 SMB를 통해 네트워크의 다른 시스템으로 전파하고 UPnP 프로토콜로 연결된 라우터에서 포트 포워딩 설정도 할 수 있습니다.

REDLINESTEALER

브라우저 파일, FTP 애플리케이션 및 암호화폐 지갑에서 자격 증명을 훔칠 수 있는 자격 증명 도용 맬웨어입니다. 기본 하드웨어 사양, 데스크톱 스크린샷, 사용자 이름, 운영체제, 언어, 지리적 위치, 설치된 소프트웨어, 프로세스 목록, 글로벌 IP 주소 같은 시스템 정보도 수집합니다. 또한, 이 맬웨어는 추가 페이로드를 다운로드 하여 실행하거나 공격자를 위해 숨겨진 쉘을 실행할 수도 있습니다. 이 맬웨어는 해킹 포럼에 판매 광고가 게재되기도 하였습니다.

REMCOS

TCP를 통해 사용자 지정 바이너리 프로토콜로 통신하는 C++ 언어로 작성된 백도어입니다. 지원 명령으로 마우스 및 키보드 조작, 임의 쉘 명령 실행, 파일 정송 및 파일 실행이 있습니다. 또한, 웹캠 비디오, 마이크 오디오, 키 입력 및 스크린샷 캡처 기능도 지원합니다.

WARZONE

TCP를 통해 사용자 지정 프로토콜로 통신하는 C++ 언어로 작성된 백도어입니다. 비디오 및 스크린샷 캡처, 원격 데스크톱, 키로딩, 파일 전송, 파일 실행, 리버스 쉘 생성 기능을 지원합니다. 또한, 브라우저, 이메일 클라이언트, 윈도우 자격 증명 매니저에 저장된 자격 증명을 추출할 수도 있습니다.






Prepare for 2024's cybersecurity landscape.

Get the Google Cloud Cybersecurity Forecast 2024 report to explore the latest trends on the horizon.

Download now

질문이 있으십니까? 담당자를 통해 확인해 보시기 바랍니다.

Mandiant 전문가가 모든 질문에 답해 드립니다.

Mandiant에 문의