FoundCore: 중국 해커들이 사이버 스파이 행위에 사용하는 은밀한 멀웨어
목차:
카스퍼스키 연구소의 보안 전문가들은 중국 국가 후원자가 베트남 전역의 정부 및 군사 기관을 목표로 한 장기간의 사이버 스파이 작전을 밝혀냈습니다. 이 해커 그룹은 Cycldek, APT27, GoblinPanda, LuckyMouse로 알려져 있으며, 새로운 고도로 회피하는 원격 접근 트로이 목마를 사용하여 악의적인 목표를 달성했습니다. FoundCore라 불리는 이 RAT는 중국 국가 후원자들이 악의적 능력을 가지고 있다는 점에서 점점 더 정교해지고 있음을 나타냅니다.
Cycldek, 베트남 정부 및 해군 공격
카스퍼스키의 분석 에 따르면, Cycldek 캠페인은 2020년 6월부터 2021년 1월까지 진행되었습니다. 감염된 장치의 대다수는 베트남에 위치했지만, 태국과 중앙 아시아에서도 소규모 침입이 발견되었습니다. 주된 목표는 정부 및 군사 자산이었으나, 외교, 교육 및 의료 부문 내 기관들도 공격받았습니다.
침입 동안 Cycldek는 악성 작업을 가장하기 위해 잘 알려진 DLL 사이드 로딩 기법을 활용했습니다. 특히, 적들은 서명된 합법적인 파일을 사용하여 최종 FoundCore 페이로드를 로드하고 해독했습니다. 해커들은 또한 탐지 및 악성 코드 분석에 대한 추가 보호층을 적용했습니다. 연구자들에 따르면, 그들은 FoundCore의 헤더 대부분을 완전히 제거했으며 일부는 일관되지 않은 값으로 남아 있었습니다. 이 방법은 중국과 관련된 행위자들만의 특징으로 악성 기술의 발전을 나타냅니다.
FoundCore RAT란?
공격 킬 체인의 최종 페이로드는 FoundCore 원격 접근 트로이 목마로, Cycldek 해커들이 목표 인스턴스를 완전히 제어할 수 있게 합니다. 이를 달성하기 위해, 악성 코드는 파일 시스템 및 프로세스 조작, 스크린샷 캡처, 임의 코드 실행을 포함한 악명 높은 기능들을 갖추고 있습니다. 추가로, 이 RAT는 다운로드 기능을 수행하여 표적 PC에 두 가지 추가 위협을 드롭할 수 있습니다. 첫 번째는 DropPhone 데이터 훔치기 위협으로 확인되었고, 두 번째는 회피성을 유지할 수 있는 CoreLoader 악성코드로 식별되었습니다.
전문가들은 FoundCore 초기 침입 벡터가 악성 RTF 문서에 의존하고 있다고 높은 신뢰도로 믿고 있습니다. 특히, 카스퍼스키의 조사에 따르면 대부분의 경우 FoundCore 감염은 RoyalRoad로 생성된 악성 문서의 열람을 통해 촉발되었습니다. CVE-2018-0802 취약점을 악용하여.
FoundCore RAT 탐지
FoundCore RAT를 활용한 Cycldek 공격을 탐지하기 위해, 활발한 Threat Bounty 개발자, Sittikorn Sangrattanapitak:
https://tdm.socprime.com/tdm/info/l08pKvzQtWPp
이 룰은 다음 플랫폼으로 번역되어 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Sentinel One, Microsoft Defender ATP
NTA: Corelight
MITRE ATT&CK:
행위자: APT27
사용 중인 보안 솔루션에 호환되는 최고의 SOC 콘텐츠를 찾고 있나요? Threat Detection Marketplace에 가입하여 23개 이상의 시장 선두 SIEM, EDR, NTDR 도구를 위한 100,000개 이상의 탐지 및 대응 규칙을 확인하세요. 직접 Sigma 규칙을 만들고자 하나요? 우리 Threat Bounty 프로그램에 참여하여 귀중한 참여에 대한 보상을 받으세요!
