마이크로소프트, 항공 우주 및 여행 업계가 공격 받고 있다고 경고해

 

 

Organizations in aerospace and travel sectors under attack, Microsoft warns

 

마이크로소프트의 연구원들이 항공 우주 및 여행 업계가 지난 몇 달 동안 악성코드 기반 캠페인의 타깃이 되었다고 밝혔습니다.

 

공격자들은 타깃 조직의 관심을 끌기 위해 특수하게 설계된 메시지를 통한 스피어 피싱 캠페인을 실행했습니다.

 

이 캠페인은 합법적인 조직으로 위장한 곳에서 발송한 이메일을 사용하며 항공, 여행, 화물 관련 미끼를 사용합니다.

 

이메일은 RAT 페이로드를 드롭하는 악성 VBScript를 다운로드하는 링크가 포함된 PDF 파일을 이미지로 위장해 사용합니다.

 

 

<이미지 출처 : https://twitter.com/MsftSecIntel/status/1392219299696152578/photo/1>

 

 

<이미지 출처 : https://twitter.com/MsftSecIntel/status/1392219306075713536/photo/1>

 

 

공격자들은 Snip3으로 명명된 새로운 로더를 사용했습니다. 이 로더는 활발히 개발되고 있는 중인 것으로 보이며, Morphisec 연구원들은 지난 몇 달 동안 이미 12개 버전을 탐지했습니다.

 

“공격 체인의 첫 단계는 2단계 PowerShell 스크립트를 로드 및 실행하도록 설계된 VBScript입니다. 이 초기 로더 단계에서 하위 버전 11개를 포함하는 버전 4개를 발견했으며, 이 버전 4개의 주요 차이점은 2단계 파워셸 로딩 메커니즘입니다. 하위 버전 11개의 주요 차이점은 각 버전이 사용하는 난독화 유형입니다.”

 

마이크로소프트가 발견한 마지막 단계 공격은 RevengeRAT, AsyncRAT과 같은 일반적인 RAT입니다. 또한 전문가들은 Agent Tesla 및 NetWire RAT을 포함한 추가 페이로드가 개입한 것을 발견했습니다.

 

공격자들은 악성코드를 통해 피해자의 민감 데이터를 훔쳤습니다.

 

RAT은 동적 호스팅 사이트에서 호스팅되는 C2 서버를 통해 제어되며, UTF-8로 인코딩된 파워셸 및 파일리스 기술을 통해 pastebin[.]com 또는 기타 유사한 사이트에서 추가적인 3단계를 다운로드합니다.

 

이 트로이목마는 RegAsm, InstallUtil, RevSvcs와 같은 프로세스에 컴포넌트를 주입하려 시도합니다.

 

 

< 이미지 출처 : https://twitter.com/MsftSecIntel/status/1392219309728952320/photo/1>

 

 

공격자는 최종 페이로드를 통해 크리덴셜을 훔치고, 스크린샷을 캡처하고, 웹캠을 통한 스파잉을 시도하고, SMTP 포트 587을 통해 훔친 데이터를 유출하는 것으로 나타났습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Downloader.VBS.Agent', 'Backdoor.RAT.Async', 'Backdoor.RAT.MSIL.NanoCore', 'Trojan.Clipbanker.A', 'Trojan.Downloader.PowerShell.Agnet'로 탐지 중입니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/117858/cyber-crime/microsoft-aerospace-travel-sectors-attacks.html

https://twitter.com/MsftSecIntel/status/1392219299696152578

https://blog.morphisec.com/revealing-the-snip3-crypter-a-highly-evasive-rat-loader