링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Gamaredon의 LittleDrifter USB 악성 코드가 우크라이나를 넘어 확산됨

연구원들이 LittleDrifter라고 부르는 최근 발견된 웜은 국가가 후원하는 Gamaredon 스파이 그룹의 캠페인의 일환으로 여러 국가의 시스템을 감염시키는 USB 드라이브를 통해 확산되었습니다.

악성 코드 연구자들은 미국, 우크라이나, 독일, 베트남, 폴란드, 칠레, 홍콩에서 침해 징후를 확인했습니다. 이는 위협 그룹이 의도하지 않은 목표에 도달한 LittleDrifter에 대한 통제력을 상실했음을 의미합니다.

LitterDrifter의 예시적인 확산
LitterDrifter의 예시적인 확산 (체크포인트)

Check Point의 연구에 따르면 이 악성코드는 VBS로 작성되었으며 Gamaredon의 USB PowerShell 웜이 진화한 형태로 USB 드라이브를 통해 전파되도록 설계되었습니다.

Shuckworm, Iron Tilden 및 Primitive Bear로도 알려진 Gamaredon은 러시아와 관련된 사이버 스파이 위협 그룹으로, 최소 10년 동안 정부, 국방, 중요 인프라를 포함한 여러 부문의 우크라이나 조직을 표적으로 삼았습니다.

LitterDrifter 세부정보

LitterDrifter의 목적은 위협 그룹의 명령 및 제어(C2) 서버와 통신을 설정하고 USB 드라이브를 통해 확산시키는 것입니다.

목표를 달성하기 위해 악성 코드는 매우 난독화된 VBS 구성 요소에 의해 실행되는 두 개의 별도 모듈을 사용합니다. 쓰레기.dll.

LitterDrifter의 실행 계획
LitterDrifter의 실행 계획 (체크포인트)

LitterDrifter 및 모든 해당 구성 요소는 사용자의 “즐겨찾기” 디렉터리에 중첩되며 예약된 작업 및 레지스트리 키를 추가하여 지속성을 설정합니다.

다른 시스템으로의 전파를 담당하는 모듈은 새로 삽입된 USB 드라이브를 모니터링하고 “trash.dll”의 숨겨진 복사본과 함께 사기성 LNK 바로가기를 생성합니다.

USB 드라이브 감염
USB 드라이브 감염 (체크포인트)

이 악성코드는 WMI(Windows Management Instrumentation) 관리 프레임워크를 사용하여 대상 드라이브를 식별하고 악성 스크립트를 실행하기 위해 임의의 이름으로 바로가기를 생성합니다.

스프레더 모듈 코드
스프레더 모듈 코드 (체크포인트)

연구원들은 Gamaredon이 도메인을 C2 서버가 있는 IP 주소의 자리 표시자로 사용한다고 설명합니다. 이러한 관점에서 볼 때 위협 그룹은 “다소 독특한” 접근 방식을 가지고 있습니다.

C2 서버에 접속을 시도하기 전에 악성코드는 임시 폴더에서 구성 파일을 찾습니다. 이러한 파일이 없으면 LittleDrifter는 WMI 쿼리를 사용하여 Gamaredon의 도메인 중 하나를 ping합니다.

쿼리에 대한 응답에는 새 구성 파일에 저장되는 도메인의 IP 주소가 포함됩니다.

Check Point는 악성코드가 사용하는 모든 도메인이 ‘REGRU-RU’에 등록되어 있으며 Gamaredon 활동에 대한 과거 보고서와 일치하는 ‘.ru’ 최상위 도메인을 사용한다고 밝혔습니다.

LitterDrifter 작업에서 C2 역할을 하는 각 IP 주소의 일반적인 수명은 약 28시간이지만, 탐지 및 차단을 피하기 위해 주소는 하루에 여러 번 변경될 수 있습니다.

C2는 LitterDrifter가 손상된 시스템에서 디코딩 및 실행을 시도하는 추가 페이로드를 보낼 수 있습니다. CheckPoint는 대부분의 경우 추가 페이로드가 다운로드되지 않았음을 명확히 밝혔는데, 이는 공격이 고도로 표적화되었음을 나타낼 수 있습니다.

백업 옵션으로 악성코드는 텔레그램 채널에서 C2 IP 주소를 검색할 수도 있습니다.

LitterDrifter는 공격의 첫 번째 단계의 일부일 가능성이 높습니다. 손상된 시스템에 지속성을 설정하려고 시도하고 C2가 공격을 심화할 새로운 페이로드를 제공할 때까지 기다립니다.

이 악성코드는 단순함이 특징이며 새로운 기술에 의존하지 않지만 효과적인 것으로 보입니다.

Check Point의 보고서는 거의 24개에 달하는 LittleDrifter 샘플과 Gamaredon의 인프라와 관련된 도메인에 대한 해시를 제공합니다.

Leave A Reply

Your email address will not be published.