ShadowPad 트로이 목마 탐지: Redfly 해커, 아시아 국가 전력망 조직을 타격하기 위해 사악한 RAT 적용

ShadowPad 백도어 다수의 국가 지원 APT들, 특히 중국과 연계된 해킹 그룹들 사이에서 인기 있으며, 이들의 사이버 스파이 활동에 널리 사용되고 있습니다. Redfly라는 악의적인 사이버 스파이 그룹이 아시아의 국가 전력망 조직을 목표로 삼아 6개월 동안 ShadowPad의 공격 능력을 활용했습니다.

Shadowpad 트로이 목마 탐지

국가 지원 APT 공격의 증가하는 위협은 중요한 인프라 부문에 점점 더 위협이 되고 있습니다. 이후 Sandworm의 Industroyer 악성코드가 발견된 후 2017년 우크라이나 전력망을 대상으로 한 공격에 사용되었으며, 국가 지원 행위자들은 중요한 인프라 시설에 침투하고 방해하기 위한 새로운 방법을 개발했습니다.

Redfly APT가 아시아의 전력망을 목표로 하는 ShadowPad 트로이 목마를 사용한 가능성 있는 공격을 식별하고 선제적으로 방어하기 위해, SOC Prime Platform은 28개의 SIEM, EDR, XDR 및 데이터 레이크 플랫폼과 호환되는 신중하게 선택된 시그마 규칙 세트를 집계합니다.

관련 명령의 탐지를 통한 쉘코드 실행을 위한 가능한 PackerLoader 실행 (프로세스 생성 경유)

경험이 풍부한 Threat Bounty 개발자에 의한 이 규칙은 Mustafa Gurkan Karakaya rundll을 통한 명령 탐지를 통해 가능한 PackerLoader 실행을 탐지합니다. 이 탐지 알고리즘은 24개의 기술 형식과 호환되며, 실행 전술 및 명령 및 스크립트 인터프리터와 같은 기술을 다룹니다.

Redfly 그룹의 서비스 생성 활동을 통한 가능한 ShadowPad 트로이 목마 지속 활동 (보안 경유)
Mustafa Gurkan Karakaya에 의한 이 규칙은 관련 서비스 생성을 통해 가능한 Redfly 그룹의 지속적 활동을 탐지합니다. 이 탐지 알고리즘은 18개의 기술 형식과 호환되며, 광범위한 메타데이터와 CTI 링크로 강화되었습니다.

ShadowPad 트로이 목마와 관련된 악성 활동을 식별하는 데 도움이 되는 전체 탐지 스택을 얻으려면 아래의 탐색 버튼을 클릭하십시오. 모든 시그마 규칙은 MITRE ATT&CK 프레임워크에 매핑되어 있으며, 위협 조사를 원활하게 하기 위해 위협 인텔리전스 참조로 강화되었습니다.

탐지 탐색

위협을 사냥하고 당신의 전문성을 동료들과 공유하고 싶습니까? 우리의 Threat Bounty 프로그램에 참여하십시오 및 시그마 규칙 생성에 대한 크라우드소싱 이니셔티브에 참여하십시오. 위협 헌팅 및 탐지 엔지니어링 기술을 향상하고, 업계 전문가와 네트워크를 형성하며, 직업적 수평을 확장하며, 당신의 기여에 대해 돈을 벌 수 있습니다.

Shadowpad 트로이 목마 분석

ShadowPad RAT는 PlugX 악성코드의 다음 버전으로 디자인된 고급 모듈형 백도어입니다. PlugX 악성코드. ShadowPad는 다양한 복잡한 기능을 자랑하며, 비용 효율성 덕분에 해킹 집단 사이에서 인기를 얻게 되었습니다. 적대자는 이 트로이 목마를 사용하여 악성 페이로드를 배포하고, C2 통신을 설정 및 유지하며, 플러그인을 수정합니다. ShadowPad 악성코드는 중국 APT 그룹과 관련된 공격에서 자주 관찰되어, 적대자가 침투된 네트워크에 장기적으로 존재할 수 있게 합니다.

아시아의 국가 전력망 조직을 목표로 한 최신 캠페인은 이전에 APT41 활동 클러스터와 관련된 공격과 유사한 도구와 인프라를 공유합니다. APT41 활동에서 활동하는 사이버 보안 연구원들이 Symantec에서 추적하고 있는 Blackfly와 Grayfly라는 별칭으로 알려진 관련 공격 클러스터 뒤에 있는 적대적인 세트를 추적합니다. 그러나, Symantec은 최근 적대적 활동의 이유로 Redfly라는 별도의 해킹 집단을 구분하며, 그들은 중요한 국가 인프라를 주요 목표로 삼고 있습니다.

연구원들은 지난 6개월 동안 타겟 조직의 침투된 네트워크에 ShadowPad 악성코드가 장기적으로 존재했다고 관찰했습니다. 국가 전력망을 대상으로 한 지속적인 침투는 다른 조직의 중요한 인프라에 심각한 위협을 가하며, 특히 정치적 불안정이 있을 때 경제적으로 큰 피해를 초래할 수 있습니다.

Redfly가 활용하는 공격 도구는 손상된 시스템에 추가로 배포되는 VMware 파일로 위장된 악성 구성요소들과의 업그레이드된 ShadowPad 상호 작용을 포함합니다. ShadowPad는 시스템 설정 시 악성 EXE 및 DLL 파일을 실행하도록 설계된 관련 서비스를 생성하여 지속력을 얻습니다.

추가적으로, Redfly는 캡처된 키 입력을 대상 인스턴스의 로그 파일에 저장하는 키로깅 유틸리티를 활용하며, Packerloader를 사용하여 쉘코드를 로드하고 실행합니다. 후자는 AES 암호화를 사용하여 저장되어 적대자가 탐지를 피하고 취약 장치에서 임의 파일이나 명령을 실행할 수 있습니다. 또한 Redfly는 PowerShell을 사용하여 손상된 시스템에 연결된 저장 장치에 대한 정보를 수집하는 명령을 실행하는 것으로도 알려졌습니다. 수평 이동을 위해, 적대자는 DLL 사이드 로딩 기술을 활용하고, 합법적인 이진 파일을 실행하는 예약 작업 및 도난된 사용자 자격 증명을 사용했습니다. Redfly는 또한 LSASS에서 자격 증명을 덤프하고 네트워크 내의 다른 인스턴스에 대해 인증하는 데 추가로 적용하기 위해 ProcDump 명령줄 유틸리티의 이름을 바꾼 버전을 사용했습니다.

아시아 전력망 조직을 표적으로 삼은 Redfly의 공격은 중요 인프라에 대한 사이버 스파이 공격의 최근 사태 중 하나입니다. 2023년 봄 말, 미국 및 국제 사이버 보안 당국은 공동 경고를 발표했습니다 국가 중요 인프라를 목표로 하는 중국 지원 APT 활동과 관련된 증가하는 위험을 다루고 있으며, 공격 표면이 전 세계적으로 확대되고 있음을 경고했습니다. Redfly의 최근 침투와 공동 고문에서 다룬 이전 캠페인은 수비자가 즉각적으로 위협을 식별하고 그 영향을 해결하는 초능력을 요구하고 있습니다.

SOC Prime은 세계의 최신 MITRE ATT&CK와 연결된 위협 인텔리전스의 가장 큰 지식 기반을 큐레이트하며, APT 탐지를 위한 500 이상 시그마 규칙, 취약점 악용 및 완화 지침을 제공하며 초단위 성능으로 검색할 수 있습니다. SOC Prime을 통해 잠재적 침투를 선제적으로 탐지하고 관련 CTI에 깊이 들어가 적대자가 공격할 기회가 생기기 전에 위험을 제거하십시오.