APT29에 의해 사용된 새로운 BEATDROP 및 BOOMMIC 악성코드 계열: HTML 스머글링 기법을 통한 피싱 캠페인, 첩보 목적으로 장기 접근

[post-views]
5월 03, 2022 · 3 분 읽기
APT29에 의해 사용된 새로운 BEATDROP 및 BOOMMIC 악성코드 계열: HTML 스머글링 기법을 통한 피싱 캠페인, 첩보 목적으로 장기 접근

APT29는 사이버 보안 전문가들에 의해 Nobelium APT라고도 불리며, 러시아 국가 주도의 첩보 그룹입니다. 그들의 공격 범위는 러시아의 현재 지정학적 목표에 부합합니다. 최근 공격은 BEATDROP 및 BEACON 로더를 사용해 BOOMMIC(VaporRage) 악성코드를 배포하는 특징을 가지고 있습니다.

보안 분석가들은 최근 피싱 캠페인이 외교관과 다양한 정부 기관을 대상으로 crafted되었으며, 이 환경 내에서 정보 수집 목적으로 접근을 유지하려는 목적이 있다고 보고합니다.

APT29 활동 탐지: 새로운 BEATDROP 및 BOOMMIC 악성코드

아래의 규칙은 다음 지표들을 통해 APT29의 악의적 존재를 탐지합니다: 위협 행위자의 횡적 이동 을 위해 SharedRealitySvcDLC라는 이름의 예약된 작업을 통해 배포, 여러 시스템에서 SMB BEACON을 통해 원격 시스템에서 BEACON 배치를 용이하게 함, 파이프 이벤트 로그를 통해 SMB BEACON 페이로드 탐지. 우리의 최고 수준의 Threat Bounty 개발자들이 개발한 규칙 Nattatorn Chuensangarun, Emir Erdogan, Kaan Yeniyol:

SMB BEACON 설정을 통한 APT29 그룹 횡적 이동 가능성 (process_creation)

BEACON 예약 작업 사용을 통한 APT29 횡적 이동 가능성 (cmdline 사용)

SMB Beacon 사용을 통한 의심스러운 APT29 횡적 이동 (pipe_event 사용)

예약 작업 생성에 의한 APT29 SMB Beacon (April 2022) 지속성 (보안을 통해)

APT 29 피싱 캠페인은 BEATDROP 및 BOOMMIC 악성코드를 다운로드 (process_creation 사용)

Press 모두 보기 버튼을 눌러 APT29와 관련된 탐지의 전체 목록을 확인할 수 있으며, SOC Prime의 플랫폼의 Threat Detection Marketplace 리포지토리에서 제공됩니다.

업계 리더들과 연결하고 자신의 콘텐츠를 개발하고 싶습니까? SOC Prime의 크라우드소싱 이니셔티브에 콘텐츠 기여자로 참여하여 전 세계 사이버 보안 커뮤니티와 Sigma 및 YARA 규칙을 공유하고 글로벌 협력 사이버 방어를 강화하세요.

탐지 보기 Threat Bounty 합류하기

APT29 피싱 캠페인 세부 사항

이 다면적인 피싱 캠페인에 대한 첫 설명은 2022년 초경에 나타났습니다. 연구자들인 Mandiant 는 APT29가 대사관의 행정 공지서인 척하면서, 원래는 외교 기관의 것이었던 합법적이나 해킹된 이메일 주소를 사용하여 스피어 피싱 이메일을 보낸 것을 발견했습니다. 아틀라시안의 Trello 같은 합법적 클라우드 서비스를 명령 및 제어(C2) 용도로 사용하는 것은 피해자들이 식별하고 완화하기 어렵게 하려는 시도로 보입니다.

이 피싱 캠페인에서는 공격자가 HTML 스머글링을 사용했는데, 이는 HTML5와 JavaScript를 사용하여 HTML 첨부파일이나 웹페이지에 문자열을 암호화하여 악의적인 페이로드를 숨기는 피싱 방법입니다. 사용자가 첨부파일을 열거나 링크를 클릭하면 브라우저가 이러한 문자열을 해독합니다. APT29 행위자들은 이를 사용해 IMG 및 ISO 파일을 전달했다고 기록되어 있습니다. 이는 악명 높은 SolarWinds 공급망 공격에서 효율성을 입증한 그들의 입증된 방법입니다.

다음으로, 보안 분석가들은 C로 작성된 BEATDROP 및 C++ BEACON 다운로더의 배포를 감지했습니다. BEATDROP은 C2 통신을 위해 Trello에 연결하고, 메모리 내에서 일시 정지된 스레드에 주입된 후 작동합니다. 현재 데이터에 따르면, 이는 더 효율적인 C++ BEACON으로 대체되어, 포트 스캔, 스크린샷 캡처, 키스트로크 캡처 및 데이터 유출을 가능하게 합니다.

BEATDROP과 BEACON은 BOOMIC이라고도 불리는 VaporRage를 심어, 손상된 시스템에 지속성을 구축하는 데 사용됩니다.

SOC Prime의 탐지 코드 플랫폼 에 가입하여 협력 방어 모범 사례의 이점을 활용하면서 반복 수익을 얻으세요. SOC Prime은 또한 많은 무료 Sigma 규칙을 탐지 코드 플랫폼에서 제공하고 있으며, 러시아의 우크라이나 침공 및 러시아와 연결된 국가 주도의 사이버 공격 증가에 대응하여 이를 릴리스했습니다. 탐지 콘텐츠는 SOC Prime 팀과 Threat Bounty 프로그램 개발자들의 폭넓은 연구에 의해 강화된 러시아와 연결된 고위험 APT에 의해 시작된 공격을 식별하는 데 도움을 줍니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물