링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

‘Scarred Manticore’, 역대 가장 발전된 이란 사이버 스파이 활동 개시

이란의 국가 후원을 받는 위협 행위자가 은밀하고 사용자 정의 가능한 악성 코드 프레임워크를 사용하여 최소 1년 동안 중동 전역의 고부가가치 조직을 감시해 왔습니다.

10월 31일 발표된 보고서에서 Check Point와 Sygnia의 연구원들은 이번 캠페인이 이란과 관련된 “이전 활동에 비해 훨씬 더 정교해졌다”고 특징지었습니다. 지금까지 공격 대상은 이스라엘, 이라크, 요르단, 쿠웨이트, 오만, 사우디아라비아, 아랍에미리트의 정부, 군사, 금융, IT, 통신 부문에 걸쳐 있었습니다. 지금까지 도난당한 데이터의 정확한 성격은 공개적으로 알려지지 않았습니다.

Check Point의 “Scarred Manticore”, Cisco Talos의 “Shrouded Snooper”로 추적되는 해당 그룹은 이란 정보보안부와 연결되어 있습니다. 이는 유명한 OilRig(일명 APT34, MuddyWater, Crambus, Europium, Hazel Sandstorm)와 중복되며 해당 도구 중 일부는 2021년 알바니아 정부 시스템에 대한 이중 랜섬웨어 및 와이퍼 공격에서 관찰되었습니다. 그러나 최신 무기 HTTP.sys 드라이버의 문서화되지 않은 기능을 활용하여 들어오는 트래픽에서 페이로드를 추출하는 “Liontail” 프레임워크는 모두 자체 프레임워크입니다.

Check Point의 위협 인텔리전스 그룹 관리자인 Sergey Shykevich는 “단지 별도의 웹 셸, 프록시 또는 표준 악성 코드가 아닙니다.”라고 설명합니다. “그것은 목표에 매우 구체적인 본격적인 프레임워크입니다.”

상처받은 맨티코어의 진화하는 도구

Scarred Manticore는 적어도 2019년부터 중동의 고가치 조직에서 인터넷 연결 Windows 서버를 공격해 왔습니다.

초기에는 오픈 소스 웹 셸 Tunna의 수정된 버전을 사용했습니다. GitHub에서 298번 포크된 Tunna는 HTTP를 통해 TCP 통신을 터널링하고 네트워크 제한 사항과 방화벽을 우회하는 도구 세트로 판매됩니다.

시간이 지나면서 이 그룹은 Tunna를 충분히 변경하여 연구원들이 “Foxshell”이라는 새 이름으로 추적했습니다. 또한 IIS(인터넷 정보 서비스) 서버용으로 설계된 .NET 기반 백도어와 같은 다른 도구도 사용했는데, 이 백도어는 2022년 2월에 처음 발견되었지만 원인은 밝혀지지 않았습니다.

Foxshell 이후 그룹의 최신이자 가장 강력한 무기인 Liontail 프레임워크가 등장했습니다. Liontail은 메모리에 상주하는 사용자 정의 셸코드 로더 및 셸코드 페이로드 세트입니다. 즉, 파일이 없고 메모리에 기록되므로 식별할 수 있는 흔적이 거의 남지 않습니다.

Shykevich는 “식별하고 예방하기 쉬운 대형 악성 코드가 없기 때문에 매우 은밀합니다.”라고 설명합니다. 대신 “대부분 PowerShell, 역방향 프록시, 역방향 셸이며 대상에 맞게 매우 맞춤화되었습니다.”

라이온테일 탐지

하지만 Liontail의 가장 은밀한 기능은 Windows HTTP 스택 드라이버 HTTP.sys를 직접 호출하여 페이로드를 불러오는 방법입니다. 지난 9월 Cisco Talos에서 처음 설명한 이 악성코드는 본질적으로 Windows 서버에 연결되어 공격자가 결정한 특정 URL 패턴과 일치하는 메시지를 수신하고 가로채고 디코딩합니다.

실제로 Sygnia의 사고 대응 팀 리더인 Yoav Mazor는 “이는 웹 셸처럼 작동하지만 실제로는 기존 웹 셸 로그 중 어느 것도 작성되지 않습니다”라고 말합니다.

Mazor에 따르면 Scarred Manticore를 밝혀내는 데 도움이 된 주요 도구는 웹 애플리케이션 방화벽과 네트워크 수준 도청이었습니다. 그리고 Shykevich는 이러한 고급 작업을 차단하는 데 XDR의 중요성을 강조합니다.

“적절한 엔드포인트 보호 장치가 있다면 이를 방어할 수 있습니다.”라고 그는 말합니다. “네트워크 수준과 엔드포인트 수준 사이의 상관 관계를 찾을 수 있습니다. 엔드포인트 장치의 웹 셸 및 PowerShell을 통한 트래픽의 이상 현상을 찾을 수 있습니다. 이것이 가장 좋은 방법입니다.”

Leave A Reply

Your email address will not be published.