Language
banner
뉴스 센터
우리는 귀하의 모든 요구를 충족시킬 수 있는 다양한 우수한 품질의 제품과 서비스를 보유하고 있습니다.
홈페이지 > 블로그

Earth Estries, 정부와 사이버 스파이 기술을 표적으로 삼다

Jul 08, 2023

우리는 Earth Estries라는 사이버 범죄 그룹이 전개한 새로운 사이버 스파이 활동을 분석합니다. 사용된 전술, 기술 및 절차(TTP)를 분석한 결과, Earth Estries가 기술 부문의 정부 및 조직을 표적으로 삼으면서 지능형 지속 위협(APT) 그룹 FamousSparrow와 중복되는 것을 발견했습니다.

작성자: Ted Lee, Lenart Bermejo, Hara Hiroaki, Leon M Chang, Gilbert Sison 2023년 8월 30일 읽기 시간: (단어)

Folio에 저장

올해 초 우리는 Earth Estries라는 해커 그룹의 새로운 사이버 스파이 활동을 발견했습니다. 우리의 관찰에 따르면 Earth Estries는 최소 2020년부터 활동해 왔습니다. 또한 Earth Estries가 사용하는 전술, 기법, 절차(TTP)와 또 다른 APT(Advanced Persistal Threat) 그룹인 FamousSparrow가 사용하는 전술, 기술, 절차(TTP) 간에 일부 중복되는 점을 발견했습니다.

진행 중인 이 캠페인에 사용된 도구와 기술에 대한 일반적인 개요를 통해 우리는 Earth Estries의 배후에 있는 위협 행위자가 높은 수준의 리소스를 사용하고 사이버 스파이 활동 및 불법 활동에 대한 정교한 기술과 경험을 가지고 활동하고 있다고 믿습니다. 또한 위협 행위자는 여러 백도어와 해킹 도구를 사용하여 침입 벡터를 강화합니다. 가능한 한 적은 공간을 남기기 위해 PowerShell 다운그레이드 공격을 사용하여 Windows AMSI(Antimalware Scan Interface) 로깅 메커니즘의 탐지를 피합니다. 또한 공격자는 Github, Gmail, AnonFiles, File.io 등의 공공 서비스를 악용하여 명령과 훔친 데이터를 교환하거나 전송합니다.

이 적극적인 캠페인은 필리핀, 대만, 말레이시아, 남아프리카, 독일 및 미국에 기반을 둔 정부 및 기술 산업 조직을 대상으로 합니다. 이 항목에서는 보안 팀과 조직이 해당 디지털 자산의 상태를 검토하고 기존 보안 구성을 향상할 수 있도록 안내하기 위해 조사 결과와 기술 분석을 자세히 설명합니다.

감염 벡터

우리는 Earth Estries가 조직의 내부 서버 중 하나를 성공적으로 감염시킨 후 관리 권한이 있는 기존 계정을 손상시키는 것을 발견했습니다. 시스템에 Cobalt Strike를 설치함으로써 Earth Estries의 공격자는 더 많은 악성 코드를 배포하고 측면 이동을 수행할 수 있었습니다. 공격자는 서버 메시지 블록(SMB)과 WMI 명령줄(WMIC)을 통해 피해자 환경의 다른 컴퓨터에 백도어와 해킹 도구를 전파했습니다. 일련의 배포 작업이 끝날 때마다 지정된 폴더에서 수집된 데이터를 보관했습니다. 샘플 및 분석에 따르면 위협 ​​행위자는 PDF 및 DDF 파일을 표적으로 삼았으며, 공격자는 컬.exe를 사용하여 온라인 저장소 AnonFiles 또는 File.io에 업로드했습니다.

우리는 또한 위협 행위자가 각 작업 라운드를 마친 후 정기적으로 기존 백도어를 청소하고 다음 라운드를 시작할 때 새로운 악성 코드를 재배포했다는 점에 주목했습니다. 우리는 노출 및 탐지 위험을 줄이기 위해 이렇게 한다고 믿습니다.

백도어 및 해킹 도구

우리는 이 캠페인에서 정보 도용자, 브라우저 데이터 도용자, 포트 스캐너 등 다양한 도구를 사용하는 위협 행위자를 관찰했습니다. 이 섹션에서는 새로 발견되고 주목할만한 도구 세트에 중점을 두고 해당 기술 세부 사항에 대해 논의합니다.

징도어

Zingdoor는 Go로 작성된 새로운 HTTP 백도어입니다. 우리가 Zingdoor를 2023년 4월에 처음 접했을 때 일부 기록에 따르면 이 백도어의 가장 초기 개발은 2022년 6월에 이루어졌습니다. 그러나 이 백도어는 야생에서 거의 발견되지 않았으며 제한된 수의 피해자에서만 사용되는 것으로 관찰되었습니다. 크로스 플랫폼 기능을 갖춘 새로 설계된 백도어입니다. Zingdoor는 UPX를 사용하여 패키징되었으며 맞춤형 난독화 엔진으로 난독화되었습니다.

우리는 Zingdoor가 UPX 포장 풀기 방지 기술을 채택했다는 점에 주목했습니다. 일반적으로 UPX의 매직넘버는 “UPX!”이지만, 이 경우에는 “MSE!”로 수정되었으며, UPX 응용프로그램은 이 수정된 파일의 압축을 풀 수 없습니다. 이 기술은 IoT(사물 인터넷) 유형의 악성 코드에서는 사용하기 쉽지만 APT 활동에서는 드문 것으로 간주됩니다.

>, archived usingthe .tar command, and encrypted with an XOR algorithm. Then the collected data will be sent to the threat actor’s email account trillgamby@gmail[.]com over SMTP (Simple Mail Transfer Protocol). Another noteworthy capability of TrillClient is its ability to update its version. As the value of “version” defined in the downloaded config is newer than the current version number, it will download the newer one from the GitHub repository and update itself./p>
프리미어
다시 목록으로
다음