Merdoor 악성코드 탐지: Lancefly APT, 남부 및 동남아시아 조직에 대한 장기 공격에서 은밀한 백도어 사용

Lacefly APT으로 추적되는 새로운 해커 집단은 최근에 맞춤형 Merdoor 백도어를 사용하여 남아시아와 동남아시아 전반의 정부, 통신, 항공 부문 조직을 공격하는 것으로 관찰되었습니다. 최신 보고서에 따르면, 이러한 목표 침투는 Merdoor 샘플을 활용하는 장기적인 적대 캠페인을 가리키며, 처음 흔적이 2018년으로 거슬러 올라갑니다.

Lancefly에 의한 Merdoor 백도어 탐지

Lancefly APT는 맞춤형 Merdoor 백도어로 수년간 레이더망을 피하며 은밀히 조직들을 겨냥해 온 새로운 플레이어입니다. 사이버 방어자들이 잠재 공격에 능동적으로 대처할 수 있도록 지원하기 위해, SOC Prime의 탐지 코드 플랫폼은 Merdoor와 관련된 의심스러운 행동을 식별할 수 있는 관련 Sigma 규칙을 집계했습니다:

의심스러운 MERDOOR 백도어 지속성 탐지 (Registry_Event를 통한 레지스트리 삭제 탐지)

우리의 날카로운 Threat Bounty 개발자가 작성한 이 규칙은 Phyo Paing Htun 과 호환되며, MITRE ATT&CK 프레임워크 v12 의 방어 회피 전술과 Modify Registry (T1112)를 대응하는 기술로 매핑됩니다.

전문 기술을 활용하면서 안전한 미래에 기여하고자 하는 위협 헌터와 탐지 엔지니어들은 SOC Prime의 Threat Bounty 프로그램에 참여함으로써 집단 사이버 방어의 강화를 환영받을 수 있습니다. 자신의 Sigma 규칙을 제출하고, 검증 및 출판되어 반복적인 기여 보상을 받으세요.

APT 집단이 제기하는 점점 증가하는 위협 때문에 보안 전문가들은 연관된 사이버 공격을 제때 식별하기 위한 신뢰할 수 있는 탐지 컨텐츠 소스를 찾고 있습니다. 아래의 탐지 탐색 버튼을 클릭하고 즉시 APT 그룹과 관련된 도구 및 공격 기술을 탐지하기 위한 Sigma 규칙 전체 컬렉션을 자세히 살펴보세요. 모든 탐지 알고리즘은 해당 ATT&CK 참조, 위협 인텔 링크 및 기타 관련 메타데이터와 함께 제공됩니다.

탐지 탐색

Medoor 백도어 분석

Symantec Threat Labs의 조사에 따르면, 5년간 악의적인 무대에서 활동해온 적대 캠페인이 2023년 5월에 모습을 드러냈습니다. 이러한 장기적인 침투에서, Lacefly라는 별칭으로 불리는 새로운 APT 집단은 아시아 전반에 걸쳐 여러 산업 부문에 목표를 두고 최근 발견된 Merdoor 백도어를 활용합니다. 전문가들은 2020년과 2021년 초기에도 위협 행위자들이 자신들의 적대 도구킷에 Merdoor를 적용했다는 것을 발견했으며, 이는 최근 사이버 공격과의 유사성을 가리킵니다. Symantec Threat Labs, an adversary campaign that has been active in the malicious arena for half a decade but has come to light in May 2023. In these long-running intrusions, a novel APT collective going with the moniker of Lacefly leverages a recently uncovered Merdoor backdoor targeting orgs across multiple industry sectors in Asia. Experts found out that threat actors also applied Merdoor in their adversary toolkit earlier in 2020 and 2021, which points to some similarities with the most recent cyber attacks.

보고서에 따르면, Lancefly 위협 행위자들은 주로 사이버 첩보 활동에 중점을 두어 타겟이 된 사용자로부터 정보를 수집하기 위해 노력하고 있습니다. 정교한 캠페인에 사용된 Merdoor 악성코드는 최소한 2018년부터 주목받아 왔습니다. 이 악성코드는 자체 추출 아카이브로, 서비스로 설치되며, 키로깅을 수행하고, C2 서버와의 통신을 위해 광범위한 방법을 사용합니다.

이전의 악의적인 작전에서 Lancefly 행위자들은 피싱 공격 벡터를 활용한 반면, 최신 캠페인에서는 초기 공격 벡터가 SSH 브루트 포싱이나 공개 서버일 수 있습니다. 또한, 최근 공격에서 위협 행위자들은 이전 캠페인과 유사한 행동 양식을 보였으며, PowrShell과 위장된 합법적 도구의 사용 등 비악성 기술 세트를 사용하여 대상 시스템에서 사용자 자격 증명을 덤프했습니다.

일반적인 Merdoor 감염은 합법적 프로세스 중 하나에 백도어 주입으로 시작됩니다 (perfhost.exe or svchost.exe), 이어서 C2 서버에 연결됩니다. 이후, 공격자는 프로세스 주입 또는 LSASS 메모리를 덤프하기 위한 명령 실행을 수행하며, 후자는 사용자 자격 증명을 훔치고 타겟 네트워크에 대한 확장된 접근 권한을 얻습니다. 그런 다음 적대자는 데이터 유출 전에 위장된 WinRAR 아카이브 관리자를 사용할 수 있습니다. 또한, Lancefly 행위자는 악명 높은 PlugX 악성코드와 연결된 Blackloader 및 Prcloader를 사용하는 것으로 관찰되었습니다. 최신 캠페인에서, 해킹 집단은 이전 버전보다 크기가 작고 더 정교한 감지 회피 기술을 적용하는 업그레이드된 ZXShell 루트킷 버전을 활용했습니다.

Lancefly 위협 행위자는 APT41 그룹 과 공통 ZXShell 루트킷 인증서로 인해 연결될 수 있으며, 후자는 다른 중국 지원 위협 행위자들과 유사하게 다른 적대자들과 인증서를 공유하는 것으로 알려져 있습니다. 또한, PlugX와 ShadowPad 를 캠페인에서 사용함으로써, 중국 APT 그룹의 적대 활동에 소속되어 있을 수 있습니다. 이는 모두 중국 국가 지원 행위자의 적대 도구킷에 흔히 사용됩니다. 그러나 아직 Lancefly의 악의적 활동을 악명 높은 해킹 집단과 연결하기에는 충분한 증거가 없습니다.

중국 APT 그룹을 포함한 국가 지원 해킹 집단에 의해 발생하는 파괴적인 공격의 증가하는 볼륨과 함께, 사이버 방어자들은 그들의 사이버 보안 태세를 위험 최적화할 수 있는 방법을 모색하고 있습니다. SOC Prime을 통해 900개 이상의 APT 관련 도구 및 사이버 공격에 대한 Sigma 규칙이 한 번의 클릭으로 가능합니다! 200개 이상의 Sigma 규칙을 무료로 얻거나 전체 탐지 스택을 On Demand로 얻으세요. my.socprime.com/pricing.