인도의 유명 기업은 파키스탄에 본사를 둔 Transparent Tribe 위협 행위자와 이전에 알려지지 않은 중국 넥서스 사이버 스파이 그룹인 IcePeony가 조직한 악의적인 캠페인의 표적이 되었습니다.
Transparent Tribe와 관련된 침입에는 ElizaRAT이라는 악성 코드와 관심 있는 특정 피해자에 대한 ApoloStealer라는 새로운 스틸러 페이로드가 포함되어 있다고 Check Point가 이번 주에 발표한 기술 문서에서 밝혔습니다.
이스라엘 회사는 “ElizaRAT 샘플은 명령 및 제어 통신을 용이하게 하기 위해 텔레그램, 구글 드라이브, 슬랙을 포함한 클라우드 기반 서비스를 체계적으로 남용하고 있음을 나타냅니다.”라고 밝혔습니다.
ElizaRAT는 Transparent Tribe가 인도 정부 부문을 표적으로 삼은 사이버 공격의 일부로 2023년 7월에 처음으로 관찰된 Windows 원격 액세스 도구(RAT)입니다. 최소 2013년부터 활동한 이 공격자는 APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major 및 PROJECTM이라는 이름으로도 추적됩니다.
악성 코드 무기고에는 Windows, Android 및 Linux 장치를 손상시키는 도구가 포함되어 있습니다. Linux 시스템에 대한 타겟팅이 증가한 것은 인도 정부가 작년부터 Maya OS라는 맞춤형 Ubuntu 포크를 사용했기 때문입니다.
감염 체인은 스피어 피싱 기술을 통해 배포될 가능성이 있는 제어판(CPL) 파일에 의해 시작됩니다. 2023년 12월부터 2024년 8월 사이에 RAT를 사용하는 최대 3개의 캠페인이 관찰되었으며, 각각 명령 및 제어(C2)를 위해 Slack, Google Drive 및 가상 개인 서버(VPS)를 사용했습니다.
ElizaRAT을 사용하면 공격자가 대상 엔드포인트에 대해 완전한 제어권을 행사할 수 있지만 ApoloStealer는 손상된 호스트에서 여러 확장자(예: DOC, XLS, PPT, TXT, RTF, ZIP, RAR, JPG 및 PNG)와 일치하는 파일을 수집하도록 설계되었습니다. 원격 서버로 추출하세요.
2024년 1월, 위협 행위자는 ElizaRAT의 원활한 작동을 보장하는 드로퍼 구성 요소를 포함하도록 작업 방식을 조정한 것으로 알려졌습니다. 최근 공격에서는 USB와 같은 외부 드라이브에서 파일을 검색하도록 설계된 코드명 ConnectX라는 추가 스틸러 모듈도 발견되었습니다.
기업 환경에서 널리 사용되는 합법적인 서비스를 남용하면 탐지 노력이 복잡해지고 위협 행위자가 시스템의 합법적인 활동에 혼합될 수 있으므로 위협이 높아집니다.
Check Point는 “ElizaRAT의 발전은 탐지를 더 잘 피하고 인도 기업을 효과적으로 표적으로 삼기 위해 악성 코드를 강화하려는 APT36의 의도적인 노력을 반영합니다”라고 말했습니다. “ApoloStealer와 같은 새로운 페이로드의 도입은 APT36의 악성코드 무기고가 크게 확장되었음을 의미하며 이 그룹이 페이로드 배포에 대해 보다 유연한 모듈식 접근 방식을 채택하고 있음을 시사합니다.”
IcePeony는 인도, 모리셔스, 베트남을 뒤쫓습니다.
이번 공개는 nao_sec 연구팀이 IcePeony라고 부르는 APT(지능형 지속 위협) 그룹이 최소 2023년부터 인도, 모리셔스, 베트남과 같은 국가의 정부 기관, 학술 기관, 정치 조직을 표적으로 삼았다는 사실을 밝힌 지 몇 주 후에 나온 것입니다.
보안 연구원인 린타로 코이케(Rintaro Koike)와 쇼타 나카지마(Shota Nakajima)는 “그들의 공격은 일반적으로 SQL 인젝션으로 시작하고 웹 셸과 백도어를 통한 손상으로 이어집니다.”라고 말했습니다. “궁극적으로는 자격 증명을 훔치는 것이 목표입니다.”
맬웨어 포트폴리오에서 가장 주목할만한 도구 중 하나는 Microsoft 인터넷 정보 서비스(IIS) 인스턴스를 표적으로 삼도록 설계된 IceCache입니다. Go 프로그래밍 언어로 작성된 ELF 바이너리는 파일 전송 및 명령 실행 기능이 추가된 reGeorg 웹 셸의 사용자 정의 버전입니다.
또한 이 공격은 파일 업로드/다운로드 및 명령 실행 기능이 포함된 IceEvent라는 고유한 수동 모드 백도어를 사용하는 것이 특징입니다.
연구원들은 “공격자들은 일주일에 6일을 일하는 것으로 보인다”고 지적했습니다. “금요일과 토요일에는 활동이 적지만, 유일하게 쉬는 날은 일요일인 것으로 보입니다. 이번 조사에 따르면 공격자들은 이러한 공격을 개인적인 활동으로 수행하는 것이 아니라 조직적이고 전문적인 작전의 일환으로 공격에 참여하고 있는 것으로 나타났습니다. “