지난 1년간 맨디언트는 UNC3890 위협 행위 클러스터를 추적하였습니다. 이 위협 행위 집합체는 이스라엘 해운, 의료, 정부, 에너지 조직을 노렸습니다. UNC3890은 주로 사회 공학 기법을 적용한 미끼를 이용한 공격과 웹 취약점을 이용하는 워터링 홀(Watering Hole) 공격을 시도하였습니다. 맨디언트는 이 위협 행위 클러스터가 이란과 연관된 것으로 보고 있습니다. 맨디언트는 UNC3890이 정보 수집에 중점을 두고 활동한 것으로 보고 있습니다. 이렇게 수집한 데이터는 최근 몇 년간 해운 업계를 괴롭힌 다양한 악의적 활동에 이용할 수 있습니다.

맨디언트는 UNC3890이 이란의 이해관계자를 위해 스파이 활동 및 정보 수집을 수행하고 있다고 확신을 갖고 평가하였습니다. 이 위협 클러스터는 이스라엘의 해운, 의료, 정부, 에너지 조직을 목표로 삼는 패턴을 보이고 있습니다. 맨디언트는 PDB 문자열 및 페르시아어 아티팩트(artifact) 같이 이란 배후 위협 행위자들이 사용하는 기술 관련 연결 고리도 일부 확인하였습니다.

UNC3890이 진행한 캠페인은 2020년 후반부터 시작되어 2022년 현재까지 계속 진행되고 있습니다. 본질적으로 이번 캠페인은 이스라엘이라는 지역에 한정되어 있지만 목표로 삼은 기업에는 글로벌 조직이 포함되어 있습니다.

UNC3890은 SUGARUSH라는 백도어와 SUGARDUMP라는 브라우저 자격 증명 탈취 도구를 사용합니다. SUGARDUMP는 지메일, 야후, 얀덱스 이메일 서비스를 통해 탈취한 데이터를 추출합니다. 또한, UNC3890은 METASPLOIT 프레임워크와 NorthStar C2같이 공개적으로 사용할 수 있는 도구도 이용하였습니다.

이 밖에도 맨디언트는 UNC3890의 C2(Command & Control) 서버와 연결된 네트워크 인프라도 밝혀냈습니다. 이 인프라는 도메인을 호스팅 하는 한편 오피스 365 같은 협업 서비스, 링크드인이나 페이스북 같은 소셜 네트워크의 가짜 로그인 페이지 운영에 사용되었습니다. 그리고 가짜 로봇 인형 광고와 채용 제안 관련 컨텐츠와도 연결되었습니다. 맨디언트는 C2 서버가 여러 타깃과 통신하는 것을 관찰하였습니다. 또한, 이스라엘의 해운 조직을 목표로 삼은 워터링 홀 공격도 관찰하였습니다.

이 포스팅은 UNC3890 이 사용한 악성 코드와 이전에 이란 배후의 위협 행위자가 사용한 적 없는 TTP 그리고 이번 캠페인에서 위협 행위자들이 사용한 공개된 도구를 자세히 알아보기 위해 작성한 것입니다. 맨디언트는 현재도 UNC3890을 추적하고 있습니다.

속성

맨디언트는 'UNC' 그룹 또는 '분류되지 않은' 그룹이라는 레이블을 사용해 TEMP, APT, FIN 같은 기준으로 분류할 수 없는 위협 행위들을 따로 묶습니다. 그리고 이들 위협 행위 관련 인프라, 도구 같은 아티팩트를 조사합니다. 맨디언트의 분류 체계에 대한 더 자세한 정보는 관련 페이지를 참조 바랍니다. 맨디언트는 UNC3890과 현재 추적 중인 다른 위협 행위 클러스터 사이에 연결점을 찾지 못했습니다. 이에 따라 맨디언트는 UNC3890을 독립적인 그룹으로 보고 있습니다. 그러나 몇몇 행위의 경우 이란-넥서스(Iran-Nexus) 그룹과 연관성이 있는 것을 확인하였습니다.

• 최신 버전의 SUGARDUMP에서 개발자가 남긴 문자열에 신이라는 뜻의 페르시아어인 'KHODA'와 말의 갈기를 뜻하는 'yaal' 단어를 발견할 수 있었습니다.
• 공격 목표로 삼은 이스라엘 조직이 이란 위협 행위자, 특히 UNC757 클러스터와 일치합니다.
• 맨디언트가 UNC2448로 추적 중인 위협 클러스터가 사용하는 PDB 경로를 이용하였습니다. 2021년 11월 17일 미국 정부가 발표한 성명에 따르면 UNC2448은 이란 이슬람 혁명 수비대(IRGC)와 관련이 있습니다. 이 밖에도 몇몇 보고에 따르면 UNC2448은 APT35/Charming Kitten 활동 클러스터와도 연관성을 찾을 수 있습니다. 또한, 몇몇 공개 자료에 따르면 UNC2448의 배후에 IRGC가 있으며, 이란의 이익을 위해 이스라엘 조직에 공격을 가하였습니다.
• 다른 이란 행위자들이 선호하는 C2 프레임워크인 NorthStar C2를 사용합니다. 다만 이는 공개적으로 사용 가능한 것이므로 정황을 고려해 이란 행위자와 연관을 지은 것입니다.

타게팅

2022년 말 맨디언트는 이스라일 조직을 표적으로 삼는 UNC3890의 활동을 확인하였습니다. 이 위협 클러스터는 해운, 정부, 에너지, 항공, 의료 등 다양한 분야의 조직에 관심을 보였습니다. 맨디언트가 관찰한 표적은 이스라엘에 집중되어 있습니다. 그러나 표적 중 일부 법인, 특히 해운 분야의 경우 글로벌 기업이 포함되어 있었습니다. 따라서 이 포스팅에서 설명하는 UNC3890의 활동은 잠재적으로 이스라엘을 넘어 다른 국가로 확대될 수 있습니다. UNC3890의 활동은 이란의 관심사와 일치합니다. UNC3890은 합법적인 로그인 활동, 합법적인 서비스 및 소셜 네트워크, 각종 컨텐츠를 활용해 피해자를 유인하였습니다.

악성 코드 관찰

맨디언트는 UNC3890이 다음과 같은 악성 프로그램을 배포하는 것을 관찰하였습니다.

전망 및 시사점

UNC3890 은 2020년 후반부터 운영되어 왔습니다. 이들이 집중적으로 노린 것은 이스라엘에 기반을 둔 해운, 정부, 에너지, 항공, 의료 분야의 조직이었습니다. 맨디언트는 이스라엘 이외의 지역의 조직을 목표로 삼고 있다는 것을 알아 내지 못했습니다. 하지만 다른 국가에 있는 조직도 목표가 될 가능성이 있다고 보고 있습니다. UNC3890은 지메일, 야후, 얀덱스 이메일 주소를 사용하는 유출 방법과 함께 합법적이거나 공개적으로 이용할 수 있는 도구로 탐지를 회피하였습니다.

UNC3890 공격 수명 주기

거점 마련

맨디언트는 UNC3890이 사용한 초기 접근 방법에 대한 몇 가지 사항을 발견하였습니다. UNC3890은 다음과 같은 초기 액세스 벡터를 사용했습니다.

• 워터 홀: 맨디언트는 UNC3890에 의해 손상되었을 가능성이 있는 합법적인 이스라엘 해운 회사의 로그인 페이지에서 호스팅 되는 워터 홀을 찾았습니다. 이 워터 홀은 적어도 2021년 11월까지 활성화되었습니다. 합법적인 로그인 페이지를 입력하면 사용자는 POST 요청을 ASCII가 아닌 Punycode 도메인((lirıkedin[.]com, xn--lirkedin-vkb[.]com)을 사용하는 공격자에게 보냅니다.

POST 요청의 URL 구조는 다음과 같습니다.

hxxps[:]//xn--lirkedin-vkb[.]com/object[.]php?browser=<user_browser>&ip=<user_ip>

워터 홀을 검사했을 때 이미 비활성화되어 있었지만, 이는 이스라엘 운송 회사를 타깃으로 사용되었습니다. 손상된 웹 사이트의 특성에 따라 다르지만 열에 민감한 화물을 취급하는 회사를 타깃으로 사용되었을 가능성이 큽니다. 맨디언트는 UNC3890 이 또 다른 이스라엘의 해운 회사를 표적으로 공격을 시도하는 징후도 발견하였습니다. 이 시도 역시 워터 홀을 이용하는 것으로 보입니다.

• 합법적인 서비스로 가장해 자격 증명 수집: 맨디언트는 UNC3890의 C2 서버로 보이는 여러 도메인을 발견했습니다. 다음 표와 같이 일부 도메인은 합법적인 서비스 및 엔티티로 가장하였습니다. UNC3890은 이들 도메인을 사용해 합법적인 서비스에 대한 자격 증명을 수집하거나, 피싱 미끼를 보내거나, 위협 행위를 숨겼습니다.

발견한 도메인 중 상당수는 UNC3890이 사용하는 인프라에서 호스팅 되었습니다.

또한, 맨디언트는 합법적인 페이스북, 인스타그램 계정에서 스크랩한 컨텐츠가 포함된 여러 ZIP 파일을 호스팅 하는 UNC3890의 서버도 식별하였습니다. 이들은 미끼를 위한 인프라로 사용되었을 수 있습니다.

• 잠재적으로 피싱 또는 워터링 홀 캠페인의 일환으로 가까 채용 제안 - 맨디언트는 UNC3890이 자격 증명 수집 도구인 SUGARDUMP를 설치하는 가짜 채용 제안(MD5: 639f83fa4265ddbb43e85b763fe3dbac)으로 설계된 .xls 파일을 사용하는 것을 관찰하였습니다. 채용 제안 컨텐츠는 데이터 분석 솔루션 개발 기업인 LexisNexis의 소프트웨어 개발자 자리에 대한 것이었습니다.

• AI 기반 로봇 인형 광고 - 희생자를 노린 UNC3890의 가장 최근 노력 중 하나는 SUGARDUMP를 배포하기 위한 미끼로 사용한 AI 기반 로봇 인형 광고입니다. UNC3890의 인프라는 로봇 인형 구매 관련 가짜 페이지를 호스팅 하여 피해자를 공격자가 제어하는 인프라로 유인하였습니다. 참고로 이를 위해 활용한 인프라는 'naturaldolls[.]store', 'xxx-doll[.]com' 등의 도메인을 활용하였습니다.

악용 후: 자격 증명 수집에서 전체 액세스 및 제어

초기 액세스 권한을 얻은 후 UNC3890은 다양한 도구를 활용해 피해자 환경에 접근하였습니다. 관련해 맨디언트가 식별한 도구는 SUGARUSH 백도어와 SUGARDUMP 자격 증명 수집 유틸리티입니다. 이외에도 공개적으로 사용 가능한 도구도 동원되었습니다. 이들에 대해 알아보겠습니다.

SUGARUSH: 작지만 효율적인 백도어

SUGARUSH는 TCP를 통해 하드코딩된 C2 주소로 리버스 쉘을 설정하는 맞춤형 백도어입니다.처음 실행하면 SUGARUSH는 'Service1'이라는 새로운 서비스를 생성합니다. 이후 'Logs'라는 로깅 폴더를 생성해 현재 실행 경로에 저장합니다.

'Logs' 폴더에 'ServiceLog'라는 새로운 폴더가 생성되고 'Service is started at <current_date>'라는 메시지와 함께 새 로그 파일이 작성됩니다. 로그 파일의 이름은 감염된 시스템의 현재 날짜입니다.

그런 다음 SUGARUSH는 호스트의 인터넷 연결을 확인하고 'You are online at <current_date>' 또는 'You are offline at <current_date>'라는 메시지와 함께 결과를 나타내는 로그 파일을 생성합니다. 인터넷 연결 시도가 성공하면 SUGARUSH는 4585 포트를 통해 임베디드 C2 주소에 대한 새 TCP 연결을 설정합니다. 그런 다음 SUGARUSH는 실행을 위한 CMD 명령으로 해설될 C2로부터 응답을 기다립니다.

SUGARUSH 샘플은 다음과 같습니다.

• 37bdb9ea33b2fe621587c887f6fb2989
• 3f045ebb014d859a4e7d15a4cf827957
• a7a2d6a533b913bc50d14e91bcf6c716
• d528e96271e791fab5818c01d4bc139f

SUGARDUMP: 브라우저 자격 증명 수집 도구

SUGARDUMP는 크롬, 오페라, 엣지 브라우저에서 자격 증명을 수집하는 데 사용하는 사용자 지정 유틸리티입니다. SUGARDUMP가 실행되면 다음 경로에 액세스합니다.

• %AppData%\\Google\\Chrome\\User Data
• %AppData&\\Opera Software\\Opera Stable
• %AppData%\\Microsoft\\Edge\\User Data

SUGARDUMP는 각 경로에서 특정 폴더 정보 수집을 시도합니다.

• \\Default\\Login Data
• \\Login Data
• Any other folder that has the string “Profile” in its name.

그런 다음 SUGARDUMP는 이 폴더에서 사용 가능한 모든 사용자 이름과 암호를 추출합니다.

수집된 정보는 다음 형식으로 저장됩니다.

맨디언트는 여러 버전의 SUGARDUMP를 관찰하였습니다.

• SUGARDUMP는 2021년 초에 작성된 최초의 알려진 버전입니다. 초기 버전은 자격 증명을 유출하지 않고 저장합니다. 미완성 버전이거나 UNC3890이 다른 도구를 사용하거나 피해자에게 수동으로 연결해 탈취한 자격 증명을 유출했을 수 있습니다.
• SMTP 기반 통신을 사용하는 SUGARDUMP는 2021년 말에서 2022년 초 사이에 나온 것으로 보입니다. 이 버전은 자격 증명 유출을 위해 지메일, 야후, 얀덱스 주소를 사용하고, AI 기반 인형 광고를 미끼로 사용합니다.
• 2022년 4월에 작성된 SUGARDUMP는 HTTPS 통신을 사용합니다. 이 버전은 가짜 NexisLexis 기업의 채용 제안을 미끼로 사용합니다.

SUGARDUMP 초기 버전: 2021년 초 맨디언트는 초기 버전의 두 가지 변종을 발견하였습니다. 첫 번째 버전은 'C:\\Users\\User\\Desktop\\test2.txt' 경로에 자격 증명을 저장합니다. 두 번째 변종은 도난당한 자격 증명을 CMD 아웃풋으로 출력합니다.

• C:\Users\User\source\repos\passrecover\passrecover\obj\Release\passrecover.pdb - 도구 세트(예: MD5: 69b2ab3369823032991d4b306a1704245)에서 사용된 유사한 PDB 경로(굵게 표시된 부분)을 관찰하였습니다. 이를 통해 2021년 11월 17일 미국 정부 성명에서 언급된 이란 행위자와 유사점을 찾습니다. 그러나 이는 일반적인 PDB 경로입니다. 따라서 상황에 따라 유사성을 판단하는 기준이 달라질 수 있습니다.
• C:\Users\User\Desktop\sourc\Chrome-Password-Recovery-master\Chrome-Password-Recovery-master\obj\Debug\ChromeRecovery.pdb

C2 통신을 위해 SMTP를 사용하는 SUGARDUMP - 2021년 말에서 2022년 초 사이에 발견한 이 변종은 알려진 C2(URL: hxxp://128.199.6[.]246/3-Video-VLC.exe)에서 다운로드되었습니다. 초기 버전과 비교할 때 약간 더 고급 버전이라 할 수 있습니다.

다운로드 한 파일인 ‘3-Video-VLC.exe(MD5: ae0a16b6feddd53d1d52ff50d85a42d5)’은 실행 시 '%AppData%\\Roaming\\' 경로 아래에 두 개의 파일을 삭제하고 실행하는 윈도우 설치 프로그램입니다. :

1. CrashReporter.exe(MD5: 084ad50044d6650f9ed314e99351a608) - 브라우저 자격 증명 수집 도구(SUGARDUMP)
2. RealDo1080.mp4 (MD5: d8fb3b6f5681cf5eec2b89be9b632b05) - CrashReporter.exe가 실행되는 동인 윈도우 미디어 플레이어로 재생되는 비디오, 영상에는 인공 지능 로봇 인형의 광고가 포함되어 있음

처음 CrashReporter.exe를 실행하면 '%AppData%\\Microsoft\\Edge\\User Data\\CrashPad\\' 폴더를 찾으려고 시도합니다. 찾을 수 없으면 '%AppData%\\Microsoft\\Internet Explorer\\TabRoaming\\

' 폴더를 검색합니다. 이때도 폴더를 찾지 못하면 맬웨어는 생성을 진행합니다. 그런 다음 악성 코드는 'CrashReporter.exe'라는 이름으로 'TabRoamong' 폴더에 자신을 다시 복사합니다. 그런 다음 SUGARDUMP 버전의 지속성을 보장하는 예약된 작업이 생성됩니다.

• 윈도우7에서 예약된 작업은 'MicrosoftInternetExplorerCrashRepoeterTaskMachineUA'라고 하며 'Keep your Microsoft software without any bugs. If this task is disabled or stopped, your Microsoft software may not work properly, meaning bugs that may arise cannot be fixed and features may not work'라는 설명이 포함되어 있습니다.
• 다른 윈도우 버전에서 예약된 작업은 'MicrosoftEdgeCrashRepoeterTaskMachineUA'라고 하며 'Keep your Microsoft software without any bugs. If this task is disabled or stopped, your Edge browser may not work properly, meaning bugs that may arise cannot be fixed and features may not work.'라는 설명이 포함되어 있습니다.

예약된 작업은 사용자 로그온 중에 CrashReporter.exe를 실행하도록 구성됩니다. 그런 다음 맬웨어는 587 포트를 통해 'smtp.yandex.com'과 'smtp.mail.yahoo.com'에 연결을 시도합니다. 이게 성공하면 맬웨어는 호스트에서 브라우저 관련 정보를 수집하기 시작합니다.

이 버전의 SUGARDUMP는 다음 브라우저에서 자격 증명을 수집합니다.

• 파이어폭스
• 크롬
• 오페라
• 엣지

각 브라우저에 대해 맬웨어는 다음 경로에서 로그인 자격 증명 추출을 시도합니다.

• %Appdata%\\Mozilla\\Firefox\\Profiles
• %Appdata%\\Google\\Chrome\\User Data
• %Appdata%\\Opera Software\\Opera Stable
• %Appdata%\\Microsoft\\Edge\\User Data

이 버전의 SUGARDUMP는 브라우저 버전, 검색 기록, 책갈피, 쿠키도 추출합니다. 추출한 데이터 구조는 다음과 같습니다.

수집된 데이터는 이후 base64로 인코딩되고 '%<malware_execution_folder>%\\CrashLog.txt'에 저장됩니다. 그런 다음 맬웨어는 다음 두 이메일 주소 중 하나에 연결해 'CrashLog.txt' 파일을 보냅니다.

• john.macperson2021@yandex[.]com
• john.macperson2021@yahoo[.]com

이메일은 다음 네 주소 중 하나로 전송됩니다.

• john.macperson2021@yandex[.]com
• john.macperson2021@yahoo[.]com
• john.macperson2021@gmail[.]com
• john.macperson@protonmail[.]com

각 메시지 제목은 'CrashLog.txt'가 첨부된 'VLC Player'입니다.

SUGARDUMP가 메시지 전송에 실패하면 '%<malware_current_execution_path>%\\CrashLogName.txt'에 새 파일을 만들어 오류 세부 정보를 파일에 씁니다. 'CrashLogName.txt'도 앞서 언급한 것과 같은 방법을 사용해 이메일로 전송합니다. 이후 악성 코드는 실행을 종료합니다.

C2 통신을 위해 HTTP를 사용하는 SUGARDUMP - 2022년 4월에 작성된 이 버전은 탈취한 자격 증명을 UNC3890 C2 서버(144.202.123[.]248:80)로 보냅니다. 맨디언트는 NexisLexis의 소프트웨어 개발자 구인 관련 가짜 채용 제안이 포함된 .xls 파일에 의해 이 버전이 삭제되는 것을 관찰하였습니다.

.xls 파일에는 활성화 시 RunDLL(MD5: e125ed072fc4529687d98cf4c62e283e)을 사용해 포함된 PE 파일을 실행하려고 시도하는 매크로가 포함되어 있습니다. PE 파일은 지금까지 관찰한 SUGARDUMP의 가장 최신 버전입니다.

이전 버전과 마찬가지로 이 버전의 SUGARDUMP는 Chromium 기반 브라우저인 크롬, 오페라, 엣지에서 자격 증명을 수집합니다. 데이터는 '%TEMP%\\DebugLogWindowsDefender.txt' 아래의 새 파일에 저장됩니다.

수집된 데이터는 이후 CBC(Cipher Block Chaining) 모드를 사용해 AES를 사용해 암호화됩니다. 키는 SHA-256로 암호화되며 비밀번호는 'qazXSW@3edc123456be name KHODA 110 !!)1qazXSW@3edc'입니다. 이중 'KHODA'라는 단어는 페르시아어로 신을 의미합니다.

암호화 후 데이터도 Base64를 사용해 인코딩되고 HTTP를 통해 UNC3890 C2 서버(1144.202.123[.]248:80)로 전송됩니다.

이 버전의 SUGARDUMP에 대한 .NET 프로젝트의 이름은 'yaai'인데, 이는 말의 갈기를 뜻하는 페르시아어입니다. 이는 SUGARDUMP의 암호화 키에 'KHODA' 단어를 사용한 것과 같이 SUGARDUMP 개발자가 페르시아어 사용자일 가능성을 보여주는 지표입니다.

SUGARDUMP 샘플은 다음과 같습니다.

• f362a2d9194a09eaca7d2fa04d89e1e5 – early version
• 08dc5c2af21ecee6f2b25ebdd02a9079 – early version
• ae0a16b6feddd53d1d52ff50d85a42d5 – SMTP-based version
• e125ed072fc4529687d98cf4c62e283e – HTTP-based version

MITRE ATT&CK

Resource Development
Obtain Capabilities (T1588)

• Tool (T1588.002)

Develop Capabilities (T1587)

• Malware (T1587.001)

Initial Access
Phishing (T1566)

• Phishing: Spearphishing Link (T1566.002)

Trusted Relationship (T1199)
Valid Accounts (T1078)

Execution
Scheduled Task/Job (T1053)

• Scheduled Task (T1053.005)

Command and Scripting Interpreter (T1059)

• PowerShell (T1059.001)
• Windows Command Shell (T1059.003)

System Services (T1569)

• Service Execution (T1569.002)

User Execution (T1204)

• Malicious File (T1204.002)

Persistence
Scheduled Task/Job (T1053)

• Scheduled Task (T1053.005)

Create or Modify System Process (T1543)

• Windows Service (T1543.003)

Privilege Escalation
Scheduled Task/Job (T1053)

• Scheduled Task (T1053.005)

 Credential Access
Credentials from Password Stores (T1555)

• Credentials from Web Browsers (T1555.003)

Input Capture (T1056)

• Keylogging (T1056.001)
• Web Portal Capture (T1056.003)

Command and Control
Ingress Tool Transfer (T1105)

Remote Access Software (T1219)

Application Layer Protocol (T1071)

• Web Protocols (T1071.001)

Protocol Tunneling (T1572)

Web Service (T1102)

• Bidirectional Communication (T1102.002)

Exfiltration
Exfiltration Over C2 Channel (T1041)

Exfiltration Over Web Service (T1567)

침해 지표