📩 26/09/2023 11:09
사이버 보안 회사 ESET은 이란과 연계된 OilRig 그룹이 이스라엘 피해자의 신원 정보를 수집하기 위해 새로운 악성 코드를 보내고 있다고 밝혔습니다.
APT34, Lyceum 또는 Siamesekitten으로도 알려진 OilRig는 적어도 2014년부터 활동해 온 사이버 스파이 그룹으로 일반적으로 이란에 본부를 두고 있는 것으로 여겨집니다. 이 그룹에는 중동 정부가 포함됩니다. 화학, 에너지, 금융, 통신 등 다양한 분야를 대상으로 한다.
ESET 연구원들은 이란과 연계된 OilRig APT(Advanced Persistant Threat) 그룹의 두 가지 공격을 조사했습니다. 2021년의 Outer Space와 2022년의 Juicy Mix. 이 두 가지 사이버 간첩 공격은 모두 특히 이스라엘 조직을 표적으로 삼았습니다. 이 목표는 중동에 대한 그룹의 초점을 확인했으며 둘 다 동일한 방법을 사용했습니다. OilRig는 먼저 C&C 서버로 사용하기 위해 합법적인 웹사이트를 손상시킨 후 피해자에게 문서화되지 않은 백도어를 전달하는 동시에 대상 시스템에서 데이터를 유출하는 데 주로 사용되는 침해 후 도구도 배포했습니다. 특히 Windows Credential Manager 및 주요 브라우저, 자격 증명, 쿠키 및 검색 기록에서 자격 증명을 수집하는 데 사용되었습니다.
OilRig는 ESET Research에서 Solar라고 부르는 간단하고 이전에 문서화되지 않은 C#/.NET 백도어와 명령 및 제어 통신을 위한 Microsoft Office Exchange Web Services API를 사용하는 새로운 다운로더인 Outer Space 공격의 SampleCheck5000(또는 SC5k)을 이용했습니다. 위협 행위자들은 Juicy Mix 공격을 위해 Solar를 개발하여 추가 기능과 난독화 방법을 갖춘 Mango 백도어를 만들었습니다. 두 백도어 모두 VBS 배포자가 사용했으며 스피어 피싱 이메일을 통해 확산되었을 가능성이 높습니다. ESET은 악성 툴킷을 탐지하는 것 외에도 손상된 웹사이트에 대해 이스라엘 CERT에 알렸습니다.
ESET은 기능 이름과 작업에 천문학 용어로 구성된 명명 체계를 사용하여 백도어의 이름을 Solar로 지정했습니다. 그는 내부 플롯 이름과 파일 이름을 기반으로 Mango라는 이름을 붙인 또 다른 새로운 백도어를 만들었습니다. Solar라는 이름의 백도어는 기본적인 기능을 가지고 있습니다. 파일을 다운로드 및 재생하고, 준비된 파일을 자동으로 출력하는 등의 기능을 사용할 수 있습니다. 이스라엘 인적 자원 회사의 웹 서버는 OilRig가 Solar의 보안을 배포하기 전에 손상시키는 단계에서 명령 및 제어 서버로 사용되었습니다.
OilRig는 Juicy Mix 캠페인을 위해 Solar 백도어에서 Mango로 전환했습니다. Mango는 몇 가지 중요한 기술적 변화를 제외하고 Solar와 유사한 작업 흐름과 중복되는 기능을 갖추고 있습니다. ESET은 Mango에서 사용되지 않는 탐지 회피 기술을 발견했습니다.
OilRig의 두 가지 공격을 분석한 ESET 연구원 중 한 명인 Zuzana Hromcova는 다음과 같이 말했습니다. “이 기술의 목적은 엔드포인트 보안 솔루션이 프로세스에서 DLL을 통해 사용자 모드 코드 후크를 로드하는 것을 방지하는 것입니다. "우리가 분석한 예에서는 매개변수가 사용되지 않았지만 향후 버전에서는 활성화될 수 있습니다."