앵무새 트래픽 디렉션 시스템 (TDS) 공격
목차:
새로운 트래픽 지향 시스템(TDS)인 Parrot TDS는 해킹된 서버 네트워크를 이용하여 사기 계획을 실행하거나 악성코드를 배포하는 도메인으로 피해자가 요구되는 프로필에 맞게 경로를 설정합니다. 현재 데이터에 따르면, 손상된 웹사이트의 수는 16,500개에 달하고 있습니다. 공격자들은 주로 합법적인 서버, 호스팅 데이터베이스, 교육 기관의 웹사이트, 정부 자원 및 성인 콘텐츠 플랫폼을 타겟으로 삼고 있습니다.
Parrot TDS와 관련된 악성 활동 감지
Parrot TDS 운영자가 시스템에 심어놓은 악성 파일을 감지하기 위해, 저희 위협 현상금 개발자가 만든 Sigma 기반 규칙을 활용하십시오 Furkan Celik, 항상 새로운 위협을 주시합니다:
Parrot 트래픽 지향 시스템(TDS)이 NetSupport RAT 설치와 함께 웹 서버를 탈취(via file_event)
이 감지는 Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro 및 AWS OpenSearch를 포함한 다음의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다.
이 규칙은 최신 MITRE ATT&CK® v.10 프레임워크와 일치하며, 주 공격 기법으로 원격 액세스 소프트웨어(T1219)를 사용하여 명령 및 제어 전술을 다룹니다.
SOC Prime의 플랫폼에서 사용할 수 있는 방대한 규칙 라이브러리를 통해 다른 관련 위협 감지 콘텐츠를 찾아보고 시스템이 악성 파일에 감염되었는지 감지하십시오. 세계 최대의 사이버 보안 커뮤니티와 전문성을 공유하려고 하는 전문 위협 사냥꾼이신가요? 위협 현상금 프로그램의 지속적인 보상과 인정을 받기 위해 저희 크라우드소싱 이니셔티브에 참여하세요.
Parrot TDS를 사용한 캠페인
연구원들의 새로운 보고서에 따르면 Avast, Parrot TDS는 2021년 10월경 처음 나타났으며, 이 도구를 활용하는 캠페인의 수는 2022년 2월에 급증했습니다.
Parrot TDS는 더 유해한 캠페인이 잠재적 피해자에게 도달할 수 있는 포털로 작용합니다. 이 시나리오에서 FakeUpdates(또는 SocGholish)는 감염된 사이트의 외관을 변경하여 JavaScript로 브라우저 업그레이드를 위한 가짜 경고를 표시하며, 다운로드 가능한 파일이 편리하게 제공됩니다. 피해자가 실제로 얻는 것은 원격 액세스 도구입니다.
기만당한 사용자가 감염된 사이트 중 하나를 방문하면 Parrot TDS는 손상된 웹사이트에 설치된 PHP 스크립트를 사용하여 클라이언트 정보를 수집하고 명령 및 제어(C2) 서버에 요청을 전송하여 공격자가 임의의 코드를 실행할 수 있도록 허용합니다. C2 서버는 피해자의 시스템에서 실행되는 JavaScript 코드를 반환하여 추가적인 위험에 노출될 수 있습니다. 이 악성 백도어 PHP 스크립트와 함께 공격자에게 웹 서버에 대한 지속적인 원격 액세스를 제공하는 웹 셸도 발견되었습니다. 페이로드는 NetSupport 클라이언트 RAT로, 손상된 기계에 대한 액세스를 제공하도록 조용히 실행되도록 설정됩니다. 언급된 웹 셸은 거의 동일한 이름으로 여러 위치에 복사됩니다. — 이로 인해 TDS의 이름인 “앵무새”의 기원이 되었습니다.
Parrot TDS 운영자는 워드프레스 및 Joomla 기반 웹사이트를 호스팅하는 서버를 악용하는 데 주로 관심을 가집니다. 이는 2020년 초 가을에 등장한 Prometheus라는 TDS와 다릅니다. Prometheus TDS 킬 체인에서는 위협 행위자들이 HTML 첨부파일, Google Docs URL 또는 해킹된 서버에 호스팅된 웹 셸 링크가 포함된 스팸 이메일을 활용하여 악성 프로세스를 시작했습니다. 악성 URL은 피해자를 Prometheus PHP 백도어로 이동시켜 필요한 정보를 수집하고 공격자 뒤편의 관리 패널로 전송하여 사용자가 직접 악성코드를 제공받을지 여부를 결정하거나 해커가 설정한 다른 URL로 전환할 수 있도록 했습니다.
따라가다 SOC Prime 블로그 업데이트를 통해 최신 사이버 보안 핫 이슈를 배우고 위협 사냥 능력을 향상시킬 수 있습니다. 세계 최대의 사이버 방어 커뮤니티와 탐지 콘텐츠를 공유하고 싶으신가요? 전 세계의 사이버 보안 연구자 및 콘텐츠 저자들은 협업 사이버 방어에 기여하고반복적인 보상을 획득하며 현재 및 발전하는 위협을 퇴치하는 데 기꺼이 참여합니다.
