Lyceum .NET DNS 백도어 탐지: 이란 국가 지원 APT 그룹이 새로운 하이재킹 멀웨어를 활용하다

사이버 보안 연구자들은 최근 ‘Lyceum’으로도 알려진 이란 정부 지원 APT 그룹이 새로운 사이버 공격을 진행하고 있다는 것을 밝혀냈습니다. HEXANE. Lyceum 행위자들은 2017년부터 사이버 위협 분야에서 활동하며 주로 중동 지역의 에너지 및 통신 산업 조직을 표적으로 삼고 있습니다. 최신 Lyceum 그룹의 캠페인에서는 위협 행위자들이 DNS 하이재킹 적대 기술을 활용하는 새로운 .NET 기반 백도어를 적용했습니다.

Lyceum 그룹에 의해 맞춤화된 .NET DNS 백도어 탐지

조직이 새로운 Lyceum .NET DNS 백도어의 악성 존재를 인프라에서 신속하게 식별할 수 있도록, SOC Prime의 플랫폼은 관련 위협을 다루는 독특한 탐지 콘텐츠의 실시간에 가까운 전달을 큐레이팅합니다. 등록된 SOC Prime 사용자들은 전용 Sigma 규칙 을 열정적인 Threat Bounty Program 개발자인 Osman Demir가 작성한 것에 접근할 수 있습니다. Threat Bounty Program에 합류함으로써, 개별 연구자들과 위협 사냥꾼들은 협력적 사이버 방어에 기여할 수 있습니다.

아래 링크를 통해 제공되는 Sigma 규칙을 깊이 있게 탐구할 수 있도록 활성 계정으로 SOC Prime 플랫폼에 가입하거나 로그인하세요:

Lyceum .NET DNS 백도어 지속성 감지를 통해 PE 파일을 시작 프로그램에 기록 (파일 이벤트 기준) – 2022년 6월

이 감지는 MITRE ATT&CK® 프레임워크 와 일치하며, 부팅 또는 로그온 자동 시작 실행 (T1547)으로 지속성 전술을 다룹니다. InfoSeC 실무자들은 19개 이상의 보안 솔루션에 적용 가능한 규칙 소스 코드를 얻기 위해 다양한 SIEM, EDR, XDR 형식 간에 쉽게 전환할 수 있습니다. 앞서 언급한 Sigma 규칙은 SOC Prime의 Quick Hunt 모듈을 사용하여 Lyceum .NET DNS 백도어와 관련된 위협을 즉시 사냥하는 데에도 적용할 수 있습니다.

Lyceum 위협 행위자들의 악성 활동과 관련된 탐지 규칙 및 사냥 쿼리의 전체 목록에 접근하려면 아래의 Detect & Hunt 버튼을 클릭하세요. 사이버 보안 실무자들은 SOC Prime의 사이버 위협 검색 엔진을 즉시 탐색하여 최고 트렌드를 접근하고, 최신 콘텐츠 업데이트를 보고, MITRE ATT&CK 참조, CTI 링크, CVE 설명 등을 포함한 전체 컨텍스트 정보를 등록 없이 한 곳에서 탐색할 수 있습니다.

Detect & Hunt 위협 맥락 탐색

Lyceum .NET DNS 백도어 분석

Zscaler ThreatLabz 팀 이 최근 글로벌 사이버 보안 커뮤니티에 최신 Lyceum 그룹의 캠페인에서 사용되는 새로운 .NET 기반 DNS 악성 코드에 대해 알렸습니다. 이란 정부 지원 해킹 집단은 COBALT LYCEUM or HEXANE 으로도 추적되며, 주로 .NET 기반 악성 코드로 작동하는 5년 이상의 사이버 위협 분야 경력을 보유하고 있습니다. 최신 악성 코드 캠페인에서 이 그룹은 오픈 소스 도구 코드를 커스터마이징하여 새로운 DNS 백도어 버전을 개발했습니다. 이 공격에서 이른바 ‘DNS 하이재킹’ 기술을 통해 백도어는 C2 서버 통신을 위한 DNS 프로토콜을 악용하여 탐지를 피하면서 악성 작업을 수행할 수 있습니다. 이 공격 기법은 위협 행위자가 DNS 서버를 제어하고 DNS 쿼리에 대한 응답을 조작할 수 있게 합니다.

최신 Lyceum 그룹의 캠페인에서는 군사 관련 주제를 미끼로 사용하는 매크로 활성화 워드 파일에 의해 감염 체인이 촉발됩니다. 활성화되면 매크로 콘텐츠는 감염된 컴퓨터에 DNS 백도어의 배포로 이어집니다. ‘DnsSystem’으로도 불리는 이 악성 코드는 적대자가 손상된 기계에서 시스템 명령을 원격으로 실행할 수 있게 하며, DNS 레코드를 악용하여 C2 서버로부터 파일을 업로드 및 다운로드할 수 있는 기능도 제공합니다.

다양한 APT 그룹이 영향 범위를 확장하고 적대적 도구 키트를 발전시킴에 따라, 진보된 조직들은 사이버 회복력을 강화할 새로운 방법을 지속적으로 찾고 있습니다. SOC Prime의 플랫폼 은 InfoSec 사용자들이 자동화된 위협 사냥과 콘텐츠 스트리밍 기능과 결합하여 큐레이팅된 Detection-as-Code 콘텐츠를 활용하여 사이버 방어 잠재력을 증대할 수 있게 합니다. 협력적인 사이버 보안 전문성에 기여할 기회를 찾고 계시나요? Threat Bounty Program 는 사이버 보안 연구자들이 자신의 탐지 콘텐츠를 수익화하고, 재정적 이익을 얻고, 업계 동료들 사이에서 인정을 받을 수 있게 하는 SOC Prime의 크라우드소싱 이니셔티브입니다.