사이버보안 연구원들은 Donut과 Sliver와 같은 공개적으로 이용 가능한 프레임워크를 이용해 다양한 이스라엘 기관을 표적으로 삼는 공격 캠페인을 발견했습니다.
HarfangLab은 지난주 보고서에서 “매우 표적화된 것으로 여겨지는 이 캠페인은 특정 대상에 맞는 인프라와 맞춤형 WordPress 웹사이트를 페이로드 전달 메커니즘으로 활용하지만, 관련 없는 수직적 분야의 다양한 기관에 영향을 미치고 잘 알려진 오픈소스 맬웨어에 의존한다”고 밝혔습니다.
프랑스 회사는 Supposed Grasshopper라는 이름으로 활동을 추적하고 있습니다. 이는 공격자가 제어하는 서버(“auth.economy-gov-il(.)com/SUPPOSED_GRASSHOPPER.bin”)에 대한 참조이며, 1단계 다운로더가 여기에 연결됩니다.
Nim으로 작성된 이 다운로더는 초보적이며 스테이징 서버에서 2단계 맬웨어를 다운로드하는 작업을 담당합니다. 드라이브바이 다운로드 방식의 일부로 사용자 지정 WordPress 사이트를 통해 전파된 것으로 의심되는 가상 하드 디스크(VHD) 파일을 통해 제공됩니다.
서버에서 검색된 2단계 페이로드는 셸코드 생성 프레임워크인 Donut으로, Sliver라는 오픈소스 Cobalt Strike 대안을 배포하기 위한 매개체 역할을 합니다.
연구자들은 “운영자들은 또한 전용 인프라를 확보하고 페이로드를 전달하기 위해 현실적인 WordPress 웹사이트를 구축하는 데 상당한 노력을 기울였습니다.”라고 말했습니다. “전반적으로 이 캠페인은 실제로 소규모 팀의 작업일 수 있을 것 같습니다.”
이 캠페인의 최종 목표는 현재 알려져 있지 않지만, HarfangLab에서는 이 캠페인이 합법적인 침투 테스트 작전과 연관되어 있을 가능성이 있다고 이론화했습니다. 이 가능성은 투명성과 이스라엘 정부 기관을 사칭할 필요성을 둘러싼 고유한 의문을 제기합니다.
SonicWall Capture Labs 위협 연구팀이 트로이 목마인 Orcinius를 설치하기 위해 함정이 설치된 Excel 스프레드시트를 시작점으로 사용하는 감염 사슬에 대해 자세히 설명한 가운데, 이 사실이 밝혀졌습니다.
“이것은 Dropbox와 Google Docs를 사용하여 2단계 페이로드를 다운로드하고 최신 상태를 유지하는 다단계 트로이 목마입니다.”라고 회사는 말했습니다. “여기에는 Windows에 연결되어 실행 중인 창과 키 입력을 모니터링하고 레지스트리 키를 사용하여 지속성을 만드는 난독화된 VBA 매크로가 포함되어 있습니다.”
