RedCurl/EarthKapre APT 공격 탐지: 정교한 사이버 스파이 그룹이 합법적인 Adobe 실행 파일을 사용하여 로더 배포
목차:
지구카프레(EarthKapre) 또는 레드컬(RedCurl)로 추적된 악명 높은 사이버 스파이 해킹 단체가 APT Indeed 테마의 피싱을 사용하여 법률 부문 기관을 대상으로 다시 등장했습니다. 피싱에서. 최근 공격에서 고도로 정교한 공격 능력으로 악명 높은 적들은 탐색 명령과 도구를 적용하여 데이터를 탈취하고 EarthKapre/RedCurl 로더를 배포했습니다.
레드컬/EarthKapre APT 공격 감지
2024년에, 국가 지원 사이버 그룹이 중국, 북한, 이란 및 러시아에서 그들의 공격 능력을 크게 강화하여 증가된 정교함과 적응력을 과시했습니다. 이들 위협 행위자는 지리적 목표를 달성하기 위해 최첨단 기술을 사용하여 사이버 도메인에서 가장 활발한 활동을 지속했습니다. 사이버 스파이 활동은 주요 초점으로 떠올랐으며, 캠페인은 더 타겟팅되고 은밀해졌습니다. 주목할 만한 예는 법률 부문 내 조직에 침투하는 고도로 정교한 접근 방식을 보여주는 RedCurl(aka EarthKapre APT)의 최신 작전입니다.
발생 가능한 RedCurl APT 공격을 앞서 가고 새로운 위협을 능가하기 위해, SOC Prime 플랫폼이 최신 공격 작전에서 활용된 TTP를 다루는 큐레이션된 Sigma 규칙 세트를 제공합니다. 아래의 탐색 감지 버튼을 클릭하여 RedCurl 공격 탐지를 위한 관련 감지 스택을 즉시 탐색하세요.
규칙은 다양한 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK®에 맵핑되어 위협 조사 과정을 간소화합니다. 탐지는 광범위한 메타데이터, 연결, 공격 타임라인, 분류 권장 사항 등을 포함하여 풍부하게 제공됩니다. CTI links, attack timelines, triage recommendations, and more.
또한, 보안 전문가들은 eSentire의 위협 대응팀의 분석에서 최신 RedCurl 캠페인의 IOC를 추적할 수 있습니다. 분석을 통해 보안 전문가들은 선택한 SIEM 또는 EDR 플랫폼에 맞춘 사용자 정의 쿼리로 이 IOC를 쉽게 구문 분석하고 변환할 수 있습니다. 이전에는 기업 고객 전용이었던 Uncoder AI가 이제 개별 연구자에게 완전한 기능 접근을 제공하여 사용 가능합니다. 여기서 자세히 알아보세요 여기.
APT 공격에서 사용된 TTP에 대한 더 많은 탐지 콘텐츠를 찾고 있는 사이버 수호자들은 “APT” 태그를 사용하여 위협 탐지 마켓플레이스를 탐색할 수 있습니다. 이것은 국가 지원 그룹과 관련된 악성 활동을 탐지하기 위해 설계된 규칙과 쿼리의 종합적인 모음에 접근할 수 있도록 제공합니다.
레드컬/EarthKapre APT 공격 분석
2025년 1월에, eSentire의 위협 대응팀(TRU) 팀이 EarthKapre(aka RedCurl) APT가 합법적인 Adobe 실행 파일 ADNotificationManager.exe를 사용하여 악성 로더를 드롭하는 것을 발견했습니다. 이 그룹은 2018년부터 우크라이나, 미국, 영국, 캐나다를 포함한 넓은 지리적 범위를 아우르며 다양한 산업을 대상으로 사이버 위협에서 활발히 활동하고 있습니다. 최신 공격 캠페인에서 민간 부문 회사를 주로 대상으로 하는 것으로 알려진 이 사이버 스파이 그룹은 법률 부문의 기관들을 대상으로 직업 테마의 피싱을 악용하고 있습니다. EarthKapre는 탐색을 위해 SysInternals AD Explorer를 사용하고, 데이터를 아카이브하기 위해 7-Zip을 사용하며, 이를 클라우드 스토리지 제공자에 탈취하기 위해 PowerShell PUT 요청을 사용했습니다.
감염 체인은 이력서나 커버 레터로 위장된 악성 PDF가 포함된 스팸 이메일로 시작됩니다. PDF는 장착할 수 있는 ISO(IMG) 파일이 포함된 ZIP 아카이브로의 링크를 포함합니다. IMG 파일을 열면 외부 드라이브로 장착되어 단일 파일 “CV 지원자 *.scr”이 서명된 Adobe 실행 파일로 표시됩니다. 편지를 실행하면 감염된 시스템에 EarthKapre 로더(netutils.dll)가 배포되어 공격 체인을 완료합니다.
ZIP 아카이브를 추출하고 IMG 파일을 장착한 후, 파일 탐색기 창에는 사용 가능한 단일 *.scr 파일만 표시됩니다. 희생자가 후자를 열면 RedCurl/EarthKapre 악성코드가 합법적인 C 런타임 라이브러리와 함께 사이드로드됩니다.
초기 공격 단계는 다음 단계를 다운로드하고 실행하는 것을 목표로 합니다. RedCurl/EarthKapre는 bcrypt.dll의 다양한 API를 활용하는 문자열 암호 해제 함수를 사용합니다. 공격의 다음 단계에서도 동일한 문자열 암호 해제 방법이 사용되지만 AES 암호 해제 키는 다르게 파생됩니다. 첫 부분은 XOR 해제를 통해 얻고, 실행 중 전달된 GUID와 결합되어 사전 준비된 환경에서 이 단계를 정확하게 트리거하기 어렵게 만듭니다. base64에서 디코딩하고 HTTP 요청 페이로드에 XOR 해제를 적용한 후, 적들은 피해자의 사용자 이름, 컴퓨터 이름 및 영향을 받은 피해자 시스템의 파일/디렉토리 목록을 얻습니다.
RedCurl은 공격 최종 단계에서 시스템 정보 수집 및 데이터 아카이브 자동화를 통해 탈취를 위한 배치 파일을 사용합니다. 이는 사용자 계정 세부정보, 시스템 데이터, 디스크 정보 등을 수집하기 위한 명령을 실행합니다. 공격자 C2 인프라는 Cloudflare에 Cloudflare 워커를 사용하여 호스팅됩니다.
조직은 ISO/IMG 파일의 자동 장착을 방지하기 위해 그룹 정책 조치를 구현하고, 모든 워크스테이션 및 서버에 EDR 솔루션을 배포하며, 지속적인 사이버 경계를 유지하여 RedCurl/EarthKapre APT 공격의 위험을 완화하는 것을 고려해야 합니다. 발전된 조직은 SOC Prime의 기업 준비가 완료된 전체 제품군을 사용하여 모든 규모, 범위 또는 정교함의 새로운 위협의 위험을 최소화할 수 있습니다. 이는 보안 투자의 최대 가치를 얻으면서 회복력이 있는 사이버 보안 전략을 채택할 수 있는 미래 대비 기술로 보안 팀을 장착합니다.
