0xNews - 탐지 회피를 위해 이미지에 해킹 페이로드를 숨기는 공격 기법 발견

Cisco Talos 보안연구팀 발표

호스팅되어 운영 중인 감염된 웹 사이트에 안전한 이미지로 위장

원격 접속 트로이 목마 RAT Remote Access Trojans 배포 공격 방법 발견

ObliqueRAT 로 지칭

이를 전파하기 위해 매크로로 위조된 악성 MS Office 문서를 활용

현재 남아시아 지역 중심으로 공격 수행 중인 공격 캠페인으로 확인

2020년 2월 최초 발견

Transparent Tribe 로 알려진, Operation C-Major, Mythic Leopard 또는 APT36 로 추적된 공격 그룹이 파키스탄 출신 인권 운동가 대상 공격에 해당 맬웨어 발견

2019년 12월 ObliqueRAT 공격 기법은 이전 CrimsonRAT 를 전파하기 위해 다른 Transparent Tribe 공격 캠페인과 겹치지만 공격 기법은 다름

RAT 페이로드를 다운로드하고 배포하기 위해 완전히 다른 매크로 코드를 사용함

이 외 공격자는 공격 성공시 상대 네트워크에 있는 겉보기에 무해한 BMP 이미지 파일에 맬웨어를 숨겨 전달하는 메커니즘을 업데이트

maldoc 의 또 다른 사례는 감염된 웹 사이트에서 호스팅되는 페이로드가 ObliqueRAT 페이로드를 포함하는 ZIP 파일이 포함된 BMP 이미지라는 차이점을 제외하고 유사한 기술 사용

악성 매크로는 ZIP을 추출한 후 엔드 포인트에서 ObliqueRAT 페이로드를 추출

이번 공격 캠페인은 감염 체인 infection chain 관계 없이 피해자가 무기화된 문서가 포함된 이메일을 열도록 속이는 것

이 이메일은 일단 열리면 피해자를 악성 URL 을 통해 ObliqueRAT 페이로드를 대상 시스템에 설치

ObliqueRAT 페이로드 버전은 현재 2020년 11월 v.6.3.5

유통망의 업그레이드 외 공격 성능 업그레이드도 추가한 것으로 분석

시스템에 성공적으로 설치된 후 스크린샷이나 웹캠 녹화 기능 추가

임의 명령어를 강제 실행

시스템 내 정보 도용 기능 등

공격자들이 이미지에 정보를 숨기는 스테가노그래피 steganography 를 사용하는 것은 새로운 기법은 아님

해킹된 웹 사이트를 악성 코드 호스팅에 남용하는 것

Sophos 연구팀은 합법적으로 운영되지만 손상된 웹 사이트의 가짜 페이지로 사용자를 유도

맬웨어로 사용자를 감염 시키기 위해 검색 엔진 최적화 SEO Search Engine Optimization 포이즈닝을 활용하는 Gootkit 캠페인 발견

Gootkit 캠페인은 NodeJS 기반

유럽과 미국, 한국 사용자 대상 공격 수행 중

웹에서의 키 입력, 키 입력 캡처, 스크린샷 촬영, 비디오 녹화, 이메일이나 암호 도용을 포함한 금융권 등 중요 행동 감시 등을 수행하는 JavaScript 기반 맬웨어 플랫폼

검색 엔진 최적화를 통해 검색 엔진을 통해 노출되는 사이트를 강제 노출

악성 ZIP 파일을 호스팅하여 사용자로 하여금 정상 사이트와 정상 파일이라 속이면서 접근

ObliqueRAT 공격 캠페인은 공격자들이 공격 공개에 어떻게 반응하고 탐지 회피를 위해 감염 체인 진화를 보여주는 전형적인 예

ObliqueRAT 페이로드의 수정은 난독화 기술을 사용하여 전통적인 서명 기반 탐지 메커니즘을 회피하는 것으로 분석

openLab