WildPressure 악성코드 탐지
목차:
중동의 석유 및 가스 부문에 반복적인 공격을 가해온 것으로 알려진 WildPressure APT 그룹이 최근 Milum 트로잔의 새 버전으로 악성 툴킷을 업그레이드했습니다. 해당 변종에 추가된 기능은 공격자가 전통적인 Windows 시스템과 함께 macOS 장치를 손상시킬 수 있게 합니다. 보안 전문가들에 따르면, 이 트로잔은 민감한 데이터를 수집하고 명령을 실행하며 감염 후 스스로 업그레이드할 수 있습니다.
Milum 트로잔 개요
Kaspersky의 보안 연구원들이 최근 새로운 버전의 악명 높은 Milum 트로잔을 확인했습니다. 이 트로잔은 WildPressure APT에 의해 중동 에너지 부문을 대상으로 사용되었습니다.
Milum은 2020년 3월에 처음 발견되었으며, C++로 작성된 완전한 기능을 갖춘 원격 접근 트로잔입니다. 그러나 이 악성 코드는 그 이후로 광범위한 업그레이드를 거쳤습니다. 현재 연구자들은 적어도 세 가지 버전의 위협이 실제 환경에서 운영 중임을 관찰하고 있으며, 향상된 C++ 버전, “Tandis”라는 VBScript 변종, 그리고 “Guard”라 불리는 Python 스크립트가 포함됩니다.
“Tandis” 변종은 원래의 Milum 버전과 유사한 기능을 수행하여 위협 행위자가 시스템 데이터를 수집하고 악성 명령을 실행할 수 있도록 합니다. 그러나 VBScript 기반의 변종은 명령 및 제어(C&C) 통신을 수행하기 위해 HTTP를 통한 암호화된 XML을 적용할 수 있습니다.
Python 기반의 버전은 2020년 9월에 처음 감지되었으며, 모든 필요한 라이브러리와 Windows 및 macOS 장치를 모두 대상으로 할 수 있는 Python 트로잔을 가지고 있습니다. 전용 macOS 변종은 PyInstaller로 배포되지만, 주로 Milum의 다중 OS “Guard” 버전 내에서 사용됩니다. “Guard”는 시스템 정보를 수집하고, 임의 파일을 다운로드 및 업로드하며, 악성 명령을 실행하고, 스스로 업데이트하며 탐지를 회피할 수 있습니다.
“Tandis” 및 “Guard” 외에 보안 연구원들은 최근 스크린샷 촬영 및 키스트로크 캡처를 담당하는 새로운 C++ 모듈을 발견했습니다. 이는 초기 C++ 버전도 개발 중이며 주요 업그레이드를 받고 있음을 의미합니다.
최신 WildPressure 캠페인
WildPressure APT의 최근 활동 변화는 중동 지역의 에너지 및 산업 부문을 대상으로 하고 있습니다. 이전에 해커들은 OVH 및 Netzbetrieb 가상 프라이빗 서버(VPS)와 Domains by Proxy 익명화 서비스에 등록된 도메인을 확보하여 악성 활동을 진행했습니다. 그러나 최신 캠페인에서는 타협된 WordPress 웹사이트를 통해 Milum 트로잔의 “Guard” 버전을 배포하는 방법도 사용됩니다.
현재 감염 메커니즘은 명확하지 않으며 다른 해커 그룹과 큰 코드 유사성은 없으나, 보안 연구원들은 BlackShadow 해커 그룹에 의해 사용된 몇 가지 TTP의 약간의 중첩을 발견했습니다. 이러한 발견은 WildPressure가 이 악의적인 작업을 수행하기 위해 다른 공격자들과 협력할 수 있음을 시사합니다.
업그레이드된 WildPressure 악성 코드 감지
WildPressure APT와 관련된 악성 활동을 식별하고 귀사의 인프라를 보호하려면 SOC Prime 팀에서 발표한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다:
https://tdm.socprime.com/tdm/info/KDx4saTxdnqm/#sigma
SIEM & 보안 분석: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
전술: 지속성, 권한 상승
기술: 시스템 프로세스 생성 또는 수정 (T1534), 원격 서비스의 악용 (T1210)
위협 탐지 마켓플레이스에 무료로 구독하고 위협 탐지를 위한 완벽한 CI/CD 워크플로를 지원하는 업계 최고의 Content-as-a-Service (CaaS) 플랫폼에 접속하세요. 우리의 라이브러리는 CVE 및 MITRE ATT&CK® 프레임워크에 직접 매핑된 100,000개 이상의 자격을 갖춘, 크로스 벤더 및 크로스 툴 SOC 콘텐츠 항목을 집계합니다. 자체 Sigma 규칙을 작성하고 싶으신가요? 우리의 Threat Bounty 프로그램에 참여하여 귀하의 입력에 대한 보상을 받으세요!
