2021.05.10

파이어아이, UNC2529그룹의 글로벌 피싱 캠페인에 활용된 새로운 악성코드 공개

편집부 | ITWorld
파이어아이가 UNC2529그룹의 2020년 12월 글로벌 피싱 캠페인에 대한 정보와 해당 캠페인에서 사용된 새로운 악성코드 3종을 공개했다. 

UNC2529 그룹은 상당한 인프라와 맞춤형 악성코드를 동원해 정교한 침해 활동을 진행했고, 많은 경험과 자원을 보유한 공격자인 만큼 주의가 필요하다고 업체 측은 설명했다. 

파이어아이는 UNC2529그룹의 전술과 3가지 악성코드에 대해 이전에 알려지지 않았던 특징을 공개했다. 

UNC2529그룹은 12월 피싱 캠페인에 상당한 양의 자원과 50여 개의 도메인을 다양한 단계의 위협에 사용했다. 또한, 난독화 및 파일없는 악성코드를 광범위하게 활용해 탐지를 어렵게 만들었다. 이 그룹은 맞춤형 피싱 도구 등 정교함을 바탕으로 한 전문적이고 자원이 풍부한 그룹으로 관찰됐으며, 피싱 캠페인의 가장 큰 동기는 금전적인 것으로 파악된다.

UNC2529는 2020년 12월 2일 1차 피싱 캠페인을 진행했으며, 2020년 12월 11일과 18일 사이에 2차 캠페인에 착수했다. 1차 캠페인에서는 28개 이상의 조직이 피싱 이메일을 받았다. 피싱 이메일에는 피해자가 파일을 다운로드하도록 유도하는 악성 URL 링크가 포함됐다. UNC2529는 1차 피싱 캠페인 이후 미국 냉난방 서비스 업체가 소유한 도메인을 탈취해 DNS 항목을 수정한 후, 이 인프라를 활용해 최소 22개 조직에 피싱 공격을 진행했다. 

UNC2529는 타깃을 정하고 타깃별 맞춤형 피싱 공격을 진행했다. 전자 제품 회사, 금융 기관, 보험 회사, IT 서비스 조직 등 기업 별로 각기 다른 회신 또는 승인과 같은 미끼성 피싱 이메일 제목을 사용했다. 이들은 해당 기업이 현재 어떤 프로젝트를 추진 중인지 살피고, 이를 토대로 맞춤형 피싱을 진행했다.

UNC2529의 피싱 캠페인은 전 세계 조직을 타깃으로 삼았다. 1차, 2차 캠페인 모두 주요 타겟은 미국이었으나, 유럽·중동·아프리카(이하 EMEA), 아시아, 호주도 주요 목표에 포함됐다. 2차 캠페인에서는 EMEA 비중이 늘어났다.
 


트라이펙터 캠페인에서 사용된 3가지 악성코드는 ▲더블드랙(DOUBLEDRAG) ▲더블드롭(DOUBLEDROP) ▲더블백(DOUBLEBACK)이다. 피해자가 피싱 이메일에 포함된 악성 페이로드 다운로드 링크를 누르면 위협이 시작되는데, 이 작업은 자바 스크립트 다운로더인 더블드랙이 진행한다. 이후 드롭퍼(더블드롭)가 작동하면서 손상된 시스템에 백도어를 심기 위한 초기 설정이 수행된다. 마지막으로 백도어(더블백)가 성공적으로 자리를 잡는다.

맨디언트는 3가지 악성코드가 연쇄 동작하는 것을 관찰하면서 한 가지 흥미로운 사실을 발견했다. 피해 시스템의 파일시스템에는 다운로더 흔적만 남는다는 것이다. 다른 악성코드는 외부 공격 인프라에 있는 레지스트리 데이터베이스와 직렬화되면서 피해 시스템에는 존재하지 않는다. 따라서 파일 기반 백신 엔진으로는 탐지가 어렵다. editor@itworld.co.kr


2021.05.10

파이어아이, UNC2529그룹의 글로벌 피싱 캠페인에 활용된 새로운 악성코드 공개

편집부 | ITWorld
파이어아이가 UNC2529그룹의 2020년 12월 글로벌 피싱 캠페인에 대한 정보와 해당 캠페인에서 사용된 새로운 악성코드 3종을 공개했다. 

UNC2529 그룹은 상당한 인프라와 맞춤형 악성코드를 동원해 정교한 침해 활동을 진행했고, 많은 경험과 자원을 보유한 공격자인 만큼 주의가 필요하다고 업체 측은 설명했다. 

파이어아이는 UNC2529그룹의 전술과 3가지 악성코드에 대해 이전에 알려지지 않았던 특징을 공개했다. 

UNC2529그룹은 12월 피싱 캠페인에 상당한 양의 자원과 50여 개의 도메인을 다양한 단계의 위협에 사용했다. 또한, 난독화 및 파일없는 악성코드를 광범위하게 활용해 탐지를 어렵게 만들었다. 이 그룹은 맞춤형 피싱 도구 등 정교함을 바탕으로 한 전문적이고 자원이 풍부한 그룹으로 관찰됐으며, 피싱 캠페인의 가장 큰 동기는 금전적인 것으로 파악된다.

UNC2529는 2020년 12월 2일 1차 피싱 캠페인을 진행했으며, 2020년 12월 11일과 18일 사이에 2차 캠페인에 착수했다. 1차 캠페인에서는 28개 이상의 조직이 피싱 이메일을 받았다. 피싱 이메일에는 피해자가 파일을 다운로드하도록 유도하는 악성 URL 링크가 포함됐다. UNC2529는 1차 피싱 캠페인 이후 미국 냉난방 서비스 업체가 소유한 도메인을 탈취해 DNS 항목을 수정한 후, 이 인프라를 활용해 최소 22개 조직에 피싱 공격을 진행했다. 

UNC2529는 타깃을 정하고 타깃별 맞춤형 피싱 공격을 진행했다. 전자 제품 회사, 금융 기관, 보험 회사, IT 서비스 조직 등 기업 별로 각기 다른 회신 또는 승인과 같은 미끼성 피싱 이메일 제목을 사용했다. 이들은 해당 기업이 현재 어떤 프로젝트를 추진 중인지 살피고, 이를 토대로 맞춤형 피싱을 진행했다.

UNC2529의 피싱 캠페인은 전 세계 조직을 타깃으로 삼았다. 1차, 2차 캠페인 모두 주요 타겟은 미국이었으나, 유럽·중동·아프리카(이하 EMEA), 아시아, 호주도 주요 목표에 포함됐다. 2차 캠페인에서는 EMEA 비중이 늘어났다.
 


트라이펙터 캠페인에서 사용된 3가지 악성코드는 ▲더블드랙(DOUBLEDRAG) ▲더블드롭(DOUBLEDROP) ▲더블백(DOUBLEBACK)이다. 피해자가 피싱 이메일에 포함된 악성 페이로드 다운로드 링크를 누르면 위협이 시작되는데, 이 작업은 자바 스크립트 다운로더인 더블드랙이 진행한다. 이후 드롭퍼(더블드롭)가 작동하면서 손상된 시스템에 백도어를 심기 위한 초기 설정이 수행된다. 마지막으로 백도어(더블백)가 성공적으로 자리를 잡는다.

맨디언트는 3가지 악성코드가 연쇄 동작하는 것을 관찰하면서 한 가지 흥미로운 사실을 발견했다. 피해 시스템의 파일시스템에는 다운로더 흔적만 남는다는 것이다. 다른 악성코드는 외부 공격 인프라에 있는 레지스트리 데이터베이스와 직렬화되면서 피해 시스템에는 존재하지 않는다. 따라서 파일 기반 백신 엔진으로는 탐지가 어렵다. editor@itworld.co.kr


X