lazarusholic

Everyday is lazarus.dayβ

Cloud storage를 활용하는 APT 공격

2024-05-23, Ahnlab
https://asec.ahnlab.com/ko/65684/
#XenoRAT #LNK

Contents

AhnLab SEcurity intelligence Center(ASEC) 에서는 GoogleDrive, OneDrive, DropBox와 같은 클라우드 서비스를 사용하여 사용자의 정보를 수집하거나 악성코드를 유포하는 공격 사례를 꾸준히 공유하였다.[1][2][3] 공격자는 주로 악성 스크립트 및 RAT 악성코드, 디코이 문서 파일 등을 클라우드 서버에 업로드하여 공격을 수행한다. 업로드된 여러 파일들은 유기적으로 동작하여 다양한 악성 행위를 수행한다.
최초 유포 파일부터 최종 RAT 유형의 악성코드가 실행되는 과정은 다음과 같다.
이러한 공격 유형은 [그림 1]과 같이 다수의 파일이 연결되어 있으며 모두 공격자의 클라우드를 통해 동작한다. 이로 인해 본문에서 확인되지 않은 악성코드가 다운로드되거나 정보 유출 외 다양한 악성 행위가 수행될 수 있다.
최초 유포 파일로는 EXE, 바로가기 파일(*.LNK) 등이 확인되었으며, 본문에서는 최근 APT 공격에 자주 사용되는 LNK 파일을 통해 동작 과정을 설명한다.
1. 유포 파일 (바로가기 파일(*.LNK))
확인된 LNK 파일은 다음과 같이 HTML 문서로 위장하고 있으며 사용자의 클릭을 유도하는 파일명을 지니고 있다.
- 경찰청 사이버수사국 – 인터넷 이용 기록 (pc안전을 위해 지금 바로 확인해주세요).html.lnk
LNK 파일에는 파워쉘 명령어가 존재한다. LNK 파일 실행 시 Base64로 난독화된 명령어를 디코딩하여 TEMP 폴더에 ms_temp_08.ps1 파일명으로 …

IoC

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
159.100.29.122
238cd8f609b06258ab8b4ded82ebbff8
52e5d2cd15ea7d0928e90b18039ec6c6
5d2fdc098d1e1a7674a40ef9140058ed
66b5ffb611505f0067c868dfa84aea60
6ad00d48fdce8dc632b13f6c2438f893
bcb0a6360f057475c63fb16e61fb3adc
c45d209f666f77d70bed61e6fca48bc2
d9d9b8375f74812c41a1cd9abce25ac9
dd2988c792b0252db4c39309e6cb2c48
f396bf5ff64656b592fe3d665eab8aa3
http://159.100.29.122:8811
https://dl.dropboxusercontent.com/scl/fi/9d9msk907asjhilhjr75m/So****g-X.txt?rlkey=f8rydbv8tf28i9f2fwkrux6wo&st=78byjswv&dl=0
https://dl.dropboxusercontent.com/scl/fi/9d9msk907asjhilhjr75m/SoJ****-X.txt?rlkey=f8rydbv8tf28i9f2fwkrux6wo&st=78byjswv&dl=0
https://dl.dropboxusercontent.com/scl/fi/gswgcmbktt1hthntozgep/SoJ****-F.txt?rlkey=n9xglo02xfnf14b9btgtw8aqi&st=w9zt1es5&dl=0
https://dl.dropboxusercontent.com/scl/fi/lpoo2f42y7x5uy6druxa0/SoJ****.html?rlkey=ckv37q02rh9j1qsw7ed28bimv&st=64zsdvba&dl=0
https://drive.google.com/uc?export=download&id=