ClickCease 미국 지방 정부를 표적으로 삼은 것으로 추정되는 Drokbk 멀웨어

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

미국 지방 정부를 표적으로 삼은 것으로 추정되는 Drokbk 멀웨어

2022년 12월 21일 TuxCare 홍보팀

시큐어웍스 카운터 위협 유닛 연구원들에 따르면, 2월부터 미국 내 여러 지방 정부의 네트워크를 표적으로 삼고 있는 Drokbk 멀웨어가 발견되었습니다. UNC2448 또는 네메시스 키튼으로도 알려진 코발트 미라지는 이란 정부의 지원을 받는 그룹이 Log4j 취약점을 익스플로잇하고 Drokbk 멀웨어를 유포하는 데 사용하는 것으로 알려져 있습니다.

네트워크 침투 후 발견된 Drokbk 멀웨어는 명령 및 제어 인프라를 보호하기 위해 깃허브를 사용하는 것으로도 밝혀졌습니다. 시큐어웍스의 수석 보안 연구원 라페 필링에 따르면, 코발트 미라지는 피해자의 네트워크에 대한 액세스 권한을 유지하기 위해 Drokbk 멀웨어를 사용한다고 합니다.

코발트 미라지는 명령 및 제어 서버 위치 지침을 패키지화하여 깃허브 저장소에 저장한 것으로 알려져 있습니다. 이러한 명령은 내부에 있는 '에이전트'인 Drokbk에 의해 수집되며, 이 에이전트는 멀웨어가 다음에 어떤 서버와 통신할지 지시하고, GitHub를 사용하면 탐지되지 않기 쉽습니다. Drokbk는 탐지 회피 수단으로 데드 드롭 리졸버라는 기술을 사용하여 명령 및 제어(C2) 서버를 결정합니다. 이 은밀한 전술은 기존의 합법적인 외부 웹 서비스를 사용하여 추가 C2 인프라를 가리키는 정보를 호스팅하는 것을 수반합니다.

시큐어웍스는 "시큐어웍스 사고 대응팀이 조사한 2월 침입은 두 개의 Log4j 취약점(CVE-2021-44228 및 CVE-2021-45046)을 사용하여 VMware Horizon 서버를 손상시키는 것으로 시작되었습니다."라고 말했습니다. 이로 인해 파일 전송 서비스에서 호스팅되는 압축 ZIP 아카이브를 통해 Drokbk 바이너리가 전달되었습니다.

또한 코발트 미라지의 활동을 조사한 결과, 두 개의 뚜렷한 침입 세트가 발견되었습니다: 클러스터 A는 BitLocker와 DiskCryptor를 사용하여 금전적 이득을 위한 기회주의적 랜섬웨어 공격을 수행하고, 클러스터 B는 정보 수집을 위한 표적 침입을 수행합니다. Drokbk는 in.NET으로 작성된 클러스터 B 애플리케이션입니다. 익스플로잇 후 지속성을 확립하는 데 사용되며 원격 서버에서 수신한 명령을 실행하는 데 사용되는 드로퍼와 페이로드로 구성됩니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
미국 지방 정부를 표적으로 삼은 것으로 추정되는 Drokbk 멀웨어
기사 이름
미국 지방 정부를 표적으로 삼은 것으로 추정되는 Drokbk 멀웨어
설명
Secureworks 연구진에 따르면 Drokbk 멀웨어는 미국 내 여러 지방 정부의 네트워크를 표적으로 삼고 있다고 합니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기