제품 개요
전 세계가 코로나19 팬데믹과 싸우느라 분주한 가운데, 사이버 범죄자들은 이 기회를 포착하여 수많은 사이버 공격을 확산시켰습니다. 가장 최근의 공격 사례는 인도의 협동조합 은행을 겨냥한 표적 공격입니다. 2020년 XNUMX월, Quick Heal Security Labs는 Adwind Java RAT 캠페인이 다시 확산되는 것을 관찰했는데, 이 캠페인의 주요 타깃은 협동조합 은행인 것으로 보입니다. 협동조합 은행은 일반적으로 규모가 작고 숙련된 사이버 보안 인력을 충분히 갖추지 못했기 때문에 잠재적으로 사이버 범죄자들의 표적이 될 수 있습니다.
COVID-19 관련 사이버 공격의 상당 부분과 마찬가지로 이 최근 Java RAT 캠페인도 다음으로 시작됩니다. 스피어 피싱 이메일. 이 이메일은 인도 중앙은행(RBI) 또는 인도 내 대형 은행에서 발송되었다고 주장합니다. 이메일 내용은 새로운 RBI 지침이나 거래 내역을 언급하며, 첨부 파일에는 악성 JAR 파일이 포함된 zip 파일이 포함되어 있습니다. 첨부 파일 이름에 문서 파일 확장자(예: xlsx, pdf 등)를 사용하면 엑셀 문서 또는 PDF 파일로 위장하여 무심코 열어보는 사용자를 유인합니다. JAR 파일은 Windows, Linux, Mac 등 Java가 설치된 모든 컴퓨터에서 실행될 수 있는 원격 관리자 트로이 목마입니다.
사용자가 첨부 파일을 열면 악성 페이로드 레지스트리 키를 수정하고 %appdata% 위치에 JAR 파일을 추가하는 방식으로 악성코드가 지속됩니다. 이 JAR 파일은 다층 난독화를 통해 분석을 어렵게 하고 바이러스 백신 프로그램의 탐지를 우회합니다. 실행 시, 이 JAR 파일은 원격 관리 도구(JRat)로 변환되어 키로깅, 스크린샷 캡처, 추가 페이로드 다운로드, 사용자 정보 탈취 등 다양한 악성 활동을 수행할 수 있습니다.
감염 벡터
아래 그림에서 볼 수 있듯이, 공격자는 사회공학 기법을 사용하여 여러 협동조합 은행에 스피어피싱 이메일을 발송했습니다. 사용자는 이 이메일이 신뢰할 수 있는 발신자로부터 발송되었다고 판단하고 첨부 파일을 열었습니다.
위 이메일에서 볼 수 있듯이 모든 첨부 파일은 zip 파일입니다. 이 압축 파일을 추출하면 악성 JAR 파일이 압축 해제됩니다. JAR 파일의 이름은 PDF, xls 또는 xlsx로 위장합니다. 이러한 위장은 사용자가 해당 JAR 파일을 클릭하도록 유도하여 Java RAT을 실행합니다.
캠페인에서 발견된 일부 제목 및 첨부 파일 이름은 다음과 같습니다.
| 메일 제목 | 첨부파일 이름 |
| 긴급 – COVID 조치 모니터링 템플릿 | 코로나19 대책 모니터링 템플릿-최종_xlsx.zip |
| RBI 검사에 대한 쿼리 보고서 | NSBL-AccListOnTheBasisOfKYCData_0600402020_pdf.zip |
| 모라토리엄 | 관보공고&RBI_지침_파일-00000120_pdf.zip |
| FMR이 돌아옵니다 | Fmr-2_n_fmr_3_파일_000002-pdf.zip |
| 평가 조언-MH-603 | MON01803_DIC_pdf.zip |
| [874890897] – NEFT/RTGS용 MIS, 06년 04월 2020일 [1] | FIXEDCOMPNULL_xls.zip |
| 거래 회의 | SHRIGOVARDHANSING0023JI001_pdf.zip |
| DI 양식 | DI_form_HY_file_00002_pdf .zip |
JAR 분석
분석된 샘플: D7409C0389E68B76396F9C33E48AB72B
첨부 파일 이름: 코로나19 대책 모니터링 템플릿-최종_xlsx.jar
이 JAR은 다단계 난독화로 난독화되었습니다. 첫 번째 단계에 대한 분석을 확인해 보겠습니다.
1단계 JAR
이 JAR 파일은 Allatori 난독화 도구로 난독화되었습니다. 아래 그림과 같이 모든 문자열이 난독화되었습니다.
위의 JAR 파일의 난독화를 해제하면 그림 5와 같이 코드가 꽤 읽기 쉬워 보입니다. 코드가 getResourceAsStream 함수를 사용하여 bxcerhsdj.lsp 파일에서 AES 암호화된 데이터를 로드하는 것을 볼 수 있습니다. AES 키는 코드에 하드코딩되어 있습니다. 이 암호화된 데이터는 복호화 후 JAR 페이로드의 두 번째 단계가 됩니다. 이 두 번째 단계의 JAR 파일은 %APPDATA% 위치에 저장되고 java.exe를 통해 실행됩니다.
레지스트리 실행 키 기술을 사용하여 지속성을 달성합니다.
2단계 JAR
2단계 JAR은 모든 주요 악성 활동을 담당합니다. 이 JAR은 다시 Allatori Obfuscator로 난독화됩니다. 패키지 구조는 아래 그림과 같습니다.
위의 JAR의 난독화를 해제한 후 그림 9에 표시된 대로 새로운 JAR이 구성됩니다.
이 난독화된 JAR을 사용하면 정적 분석을 쉽게 수행할 수 있습니다. 악성 코드 활동.
RAT 기능 분석
이해하기 쉽게 하기 위해 일부 매개변수와 함수의 이름을 수동으로 바꾸었습니다.
구성
아래 클래스는 연결을 위한 URL, 포트 번호, 절전 간격, 현재 JAR 이름 등과 같은 모든 필수 구성을 저장합니다.
연결 메커니즘
Adwind는 비표준 포트를 통해 명령 및 제어(C2) 서버와 통신합니다. URL과 포트 번호는 하드코딩되어 있으며, 이 경우 포트 9045가 사용되었습니다. 또한 C2에 연결하기 전에 절전 모드를 예약합니다.
RAT는 C2에서 수신한 명령에 따라 연결을 종료하거나 다시 시작하는 기능을 가지고 있습니다.
C2 세부 정보
도메인은 05년 2020월 20일부터 2020년 151.106.30.114월 XNUMX일까지 IP 'XNUMX'에서 호스팅되어 활성화되었습니다.
그림 13: 도메인 히트맵. 참고 – 수동 합계
페이로드 메커니즘 다운로드
페이로드에 대한 요청은 다음과 같이 "User-Agent"와 함께 전송됩니다.
"Mozilla/5.0(Windows NT 10.0; Win64; x64) AppleWebKit/537.36(KHTML, like Gecko) Chrome/80.0.3987.87 Safari/537.36"
"dn" 명령은 다운로드 기능에 사용되고 "dn.e" 명령은 페이로드를 다운로드하고 실행하는 데 사용됩니다.
일시 정지 및 이동 메커니즘
AdWind RAT는 명령 및 제어 서버에 접속하기 전에 RAT가 절전 모드를 예약할 수 있도록 하는 일시 중지 및 시작 메커니즘을 가지고 있습니다. 이 메커니즘은 C2가 꺼져 있을 때 RAT의 네트워크 활동을 최소화하는 데 도움이 됩니다. 공격자는 필요에 따라 예약된 절전 모드를 취소할 수도 있습니다.
"main" 명령 메커니즘
'main' 명령 아래에는 공격자가 피해자의 컴퓨터를 종료, 재부팅 또는 로그오프하는 데 도움이 되는 세 가지 명령이 있습니다. 모든 명령은 피해자의 OS로 실행됩니다.
지속성 메커니즘
이 백도어는 명령을 보내 지속성을 생성하거나 삭제할 수 있습니다.
지속성은 reg 명령을 사용하여 HKCU Run 레지스트리 키에 파일 경로를 추가하여 생성됩니다.
정리의 경우, 현재 항목에 'REG DELETE'를 호출하는 명령을 사용하여 지속성을 제거할 수 있습니다.
원격 데스크탑 제어
Adwind RAT은 피해자의 데스크톱을 원격으로 제어할 수 있습니다. 이 변종에서 공격자는 로봇 클래스를 사용하여 원격 컴퓨터에서 명령을 전송하여 마우스와 키보드를 제어했습니다.
스크린샷 캡처
아래 코드는 스크린샷을 찍는 역할을 합니다.
아래 표는 C2에서 보낼 수 있는 다양한 명령을 보여줍니다.
| 명령 | 기술설명 | 하위 명령 | 기술설명 |
| AUT | 인증 | ||
| cm | 명령줄 | ||
| 인.티 | 런처 종료 | ||
| ln.rst | 런처 재시작 | ||
| PNG | 일시 정지 및 이동 | ||
| dg | 대화 | ||
| dn | 다운로드 | 디엔에이 | 다운로드 및 실행 |
| 본관 | 메인 메뉴 | 메인.shd | 종료 |
| 메인.rbt | 재부팅 | ||
| 메인.lgf | 로그 오프 | ||
| st | 시작 | 성.is | 등록 추가 |
| 세인트.어스 | 등록 삭제 | ||
| sc | 화면/스크롤 캡처 | 스코프 | 엽니다 |
| sc.ck | 마우스 클릭 | ||
| 디블크 | 마우스 더블 클릭 | ||
| dn | 아래로 | ||
| up | Up | ||
| sc.mv | 마우스 이동 | ||
| sc.캡 | 포착 | ||
| sc.ky | 키보드 키 누름 | ||
| sc.mw | 마우스 휠 | ||
| fm | 파일 관리자 | fm.dv | 방향 보기 |
| fm.get | 환경 변수 가져오기 | ||
| fm.nd | mkdirs | ||
| fm.e | 실행하다 | ||
| fm.op | 엽니다 | ||
| fm.sp | WMIC를 사용한 Spawn-Process | ||
| fm.ja | Java 앱 실행: java -jar | ||
| fm.sc | 스크립트 실행: wscript.exe //B | ||
| fm.es | cmd 셸에서 실행 | ||
| fm.cp | 부 | ||
| fm.chm | 파일 권한을 수정합니다 | ||
| fm.mv | 무브 | ||
| fm.del | . | ||
| fm.ren | 이름 바꾸기 | ||
| fm.chmod | 파일 권한을 수정합니다 | ||
| fm.다운 | 다운로드 | ||
| fm.up | 가이드라가 | ||
공격의 영향
은행은 잠재적 위험을 평가할 때 직접적인 비용뿐만 아니라 많은 간접적인 측면도 고려해야 합니다.
직접적인 영향
도난당한 데이터
은행에 대한 사이버 공격은 모든 고객 데이터와 중요한 금융 인프라 정보를 유출하는 결과를 초래할 수 있습니다. 이러한 데이터 유출은 공격자가 표적 공격을 포함한 다음 단계의 공격을 계획하는 데 도움이 됩니다.
금융 사기
백도어는 종종 신속한 로그인과 같은 중요한 금융 인프라의 자격 증명을 훔치는 결과를 초래합니다. 이는 은행에 막대한 재정적 손실을 초래합니다. 우리는 이전에도 사이버 공격으로 인해 은행이 막대한 재정적 손실을 입는 사례를 많이 보았습니다.
더 큰 공격
지난 몇 년 동안 은행을 겨냥한 장기적이고 장기적인 사이버 공격이 몇 차례 발생하여 은행과 사용자들에게 막대한 재정적 피해를 입혔습니다. 이러한 공격은 일반적으로 사이버 범죄자가 네트워크 내 리소스에 접근할 수 있는 초기 감염으로 시작되며, 이후 공격은 네트워크의 나머지 부분으로 확산되어 공격자가 민감/기밀 정보에 접근하게 됩니다. 이러한 공격의 시작점 중 하나가 Java RAT 기반 공격일 가능성을 배제해서는 안 됩니다.
간접 영향
비즈니스 다운타임
사이버 공격은 은행의 운영 중단으로 이어질 수 있으며, 이는 금융 사기와 같은 직접적 비용보다 몇 배나 더 높을 수 있습니다.
평판 상실
이는 기업이 사이버 공격에 대해 지불해야 하는 가장 파괴적인 비용 유형입니다. 공격에 대한 뉴스가 유출되면 피해자는 침해 사실을 대중에게 알릴 수밖에 없습니다. 이는 투자자 및 기타 이해관계자들의 은행에 대한 잠재적인 견해를 종종 바꿀 수 있습니다.
고객 영향
은행에 대한 공격은 고객 개인 정보 유출로 이어질 수 있습니다. 운영 중단으로 인한 거래 실패는 고객 불만으로 이어져 고객 유지에 부정적인 영향을 미칠 수 있습니다.
맺음말
지난 몇 달 동안 사이버 범죄자들은 전 세계적인 코로나바이러스 공황을 이용하여 다양한 악성코드를 유포하고 민감한 정보를 훔쳐 왔습니다. 이 특정 시나리오에서 공격자들은 Adwind Java RAT를 사용하여 인도의 소규모 은행들을 표적으로 삼았습니다. 이는 정보를 훔치고 피해자의 컴퓨터를 원격으로 제어하여 금전적 이익을 취하려는 명백한 목적이었습니다. 또한, 공격자들은 이 공격에서 탐지를 어렵게 하기 위해 다층 난독화를 사용했습니다. 시크라이트 제품은 이러한 공격을 성공적으로 감지하고 차단하며 고객을 보호하고 있습니다.
Quick Heal은 사용자에게 충분한 주의를 기울이고, 원치 않는 이메일의 첨부 파일을 열거나 웹 링크를 클릭하지 않도록 권고합니다. 또한 사용자는 운영 체제를 최신 상태로 유지하고 모든 기기에 완벽한 보안 솔루션을 설치해야 합니다. Seqrite 고객은 회사 정책에 따라 이메일 보호가 설정되어 있는지 확인하는 것이 좋습니다. 위에 언급된 연락처 정보를 사용하여 Seqrite 지원팀에 문의해 주십시오. 여기에서 확인하세요. 이메일 보호를 구성하는 데 도움이 필요한 경우.
퀵힐 연구팀에서는 COVID-19 관련 모든 캠페인을 적극적으로 모니터링하고 있으며 고객의 안전을 보장하기 위해 끊임없이 노력하고 있습니다.
IOC
- D7409C0389E68B76396F9C33E48AB72B
- 09477F63366CF4B4A4599772012C9121
- 8C5FFB7584370811AF61F81538816613
- 01AB7192109411D0DEDFE265005CCDD9
- 0CEACC58852ED15A5F55C435DB585B7D
MITRE ATT&CK TID:
| 전술 | 분석기법 | ID |
| 초기 액세스 | 스피어피싱 첨부 파일 | T1193 |
| 실행 | 명령 줄 인터페이스 | T1059 |
| 고집 | 파일 시스템 권한 취약점 | T1044 |
| 레지스트리 실행 키/시작 폴더 | T1060 | |
| 권한 에스컬레이션 | 파일 시스템 권한 취약점 | T1044 |
| 방어 회피 | 보안 도구 비활성화 | T1089 |
| 레지스트리 수정 | T1112 | |
| 난독화된 파일 또는 정보 | T1027 | |
| 파일 삭제 | T1107 | |
| 프로세스 발견 | T1057 | |
| 원격 시스템 검색 | T1018 | |
| 시스템 정보 검색 | T1082 | |
| 로컬 시스템의 데이터 | T1005 | |
| 수집 | 입력 캡처 | T1056 |
| 화면 캡처 | T1113 | |
| 데이터 압축 | T1002 | |
| 여과 | 데이터 암호화됨 | T1022 |
| 자주 사용되지 않는 포트 | T1065 | |
| 원격 파일 복사 | T1105 | |
| 원격 액세스 도구 | T1219 | |
| 데이터 파괴 | T1485 | |
| 영향 | 시스템 종료/재부팅 | T1529 |
해당 분야 전문가:
-
칼페쉬 만트리
-
파반쿠마르 차우다리
-
바장 마네
