Broadcom 시만텍의 위협 사냥꾼 팀은 Chinabacked Witchetty 및 LookingFrog 해커 그룹이 아프리카와 중동의 기업을 대상으로 향상된 도구 세트를 사용하고 있음을 보여주는 경고를 게시했습니다.
ESET은 2022년 4월에 조직을 처음 찾았습니다. 그 운영은 1단계 백도어(X4)와 2단계 페이로드(LookBack)를 사용하여 구별됩니다.
Symantec Advisory에서 공개된 Chinabacked Witchetty 공격 전술
시만텍의 분석에 따르면 위체티는 중국 APT 조직인 Cicada(Stone Panda라고도 함), APT10, TA410과 연결되어 있습니다. 이 조직은 이미 미국 에너지 회사에 대한 표적 공격과 관련이 있습니다.
그룹의 툴킷은 지속적으로 개발되고 있습니다. 현재 스테가노그래피 기술을 사용하여 Microsoft Windows 로고 아래 백도어(Backdoor.Stegmap)를 숨기고 중동 국가를 대상으로 합니다.
새로운 것은 아니지만 그림 안에 바이러스를 숨긴 특이한 접근 방식입니다. 이 바이러스는 무엇보다도 폴더 제거 및 생성, 파일 조작, 프로세스 시작/종료, 실행 파일 실행/다운로드, 프로세스 열거 및 종료, 데이터 도용 등을 수행할 수 있습니다. 또한 레지스트리 키를 만들고 읽고 제거하는 기능도 있습니다.
Cicada는 올해 초 일본 조직을 목표로 삼았지만 이제는 북미, 아시아 및 유럽을 포함하도록 목표 목록을 확장한 것으로 보입니다.
“DLL 로더는 GitHub 저장소에서 비트맵 파일을 다운로드합니다. 파일은 단순히 오래된 Microsoft Windows 로고로 보입니다. 그러나 페이로드는 파일 내에 숨겨져 있으며 XOR 키로 해독됩니다.” Broadcom의 Symantec Threat Hunter 연구원이 발표한 분석을 읽습니다. “이런 방식으로 페이로드를 위장하면 공격자가 신뢰할 수 있는 무료 서비스에서 페이로드를 호스팅할 수 있습니다.
Witchetty는 관심 대상을 손상시키기 위해 도구 세트를 지속적으로 개선하고 새로 고칠 수 있는 능력을 보여주었습니다. 공개 서버에서 취약점을 악용하면 조직에 대한 경로가 제공되며, 해외 전술을 적절히 사용하는 맞춤형 도구를 통해 표적 조직에서 장기적으로 지속적인 존재를 유지할 수 있습니다.”
– 시만텍
공격의 세부 사항
감염 체인에는 내부에 악성 코드가 포함된 Microsoft Windows 로고인 GitHub 비트맵 파일을 가져오기 위해 DLL 로더를 사용하는 것이 포함됩니다. 페이로드를 숨기는 이 방법을 통해 공격자는 GitHub와 같은 신뢰할 수 있는 무료 서비스에서 페이로드를 호스팅할 수 있습니다.
2022년 2월과 9월 사이에 Witchetti는 두 중동 국가의 행정부와 아프리카 국가의 증권 거래소를 공격했습니다. 이 그룹은 CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 및 CVE-2021-27065로 식별된 ProxyShell 및 ProxyLogon 취약점을 사용했습니다.
Broadcom의 블로그 게시물에 따르면 공격자는 자격 증명을 획득하고 측면 네트워크 이동을 획득하기 전에 공개적으로 액세스 가능한 컴퓨터에 웹 셸을 설치합니다.
또한 메모리 덤프, 웹 셸 및 백도어 배포, 명령 실행, 백도어 배포, 맞춤형 도구 설치를 사용하여 암호를 훔치려는 시도로 컴퓨터에 멀웨어를 설치했습니다. 이 전략을 통해 조직 네트워크에 침투할 수 있으며 맞춤형 도구와 다른 육지 전략을 결합하여 대상 조직에서 장기적인 지속성을 유지할 수 있습니다.
시만텍은 “Witchetty는 관심 대상을 손상시키기 위해 도구 세트를 지속적으로 개선하고 새로 고칠 수 있는 능력을 입증했습니다.”라고 말합니다.
이 콘텐츠를 즐겼다면 우리의 Edgy 해커 해킹 Fast Company, Zoom Mac Vulnerability 및 해커 기사를 위한 백도어를 허용하는 Microsoft Word를 확인하십시오.
시만텍이란?
미국 소프트웨어 기업 NortonLifeLock Inc.(구 Symantec Corporation)는 애리조나 주 템피에 본사가 있습니다. 비즈니스는 사이버 보안을 위한 서비스와 소프트웨어를 제공합니다. Fortune 500대 기업인 NortonLifeLock은 S&P 500 주식 시장 지수의 구성 요소입니다.
