기술 지원
문서
로그인
문의하기
ReliaQuest, QBot 뱅킹 트로이 목마로 인한 보안 사고 탐지
2023년 3월 30일 TuxCare 홍보팀
릴리아퀘스트는 고객 환경에서 QBot 뱅킹 트로이 목마로 인한 보안 사고를 발견했습니다. 위협 행위자는 피싱 이메일을 통해 네트워크에 액세스하여 QBot 멀웨어를 설치하고 77분 만에 권한을 에스컬레이션하여 발판을 마련했습니다.
공격자의 행동은 다수의 랜섬웨어 공격과 연관된 Black Basta RaaS 프로그램의 일원이었음을 보여주었습니다. 피싱 이메일은 악의적인 것으로 탐지되었지만 지나치게 허용적인 보안 솔루션의 탐지를 피할 수 있었으며, 멀웨어는 위협 행위자가 사용하는 일반적인 전술인 HTML 스머핑을 통해 실행되었습니다.
ReliaQuest는 피해를 입은 고객과 협력하여 침입의 영향을 완화하고 공격자의 공격을 방지하거나 최소한 공격 속도를 늦출 수 있는 위험을 피하도록 기업에 조언했습니다.
QBot 뱅킹 트로이 목마는 2007년에 발견되었으며, 이후 측면 이동, 탐지 회피, 디버깅, 손상된 시스템에 추가 멀웨어 설치 등 새로운 기술과 기능을 포함하도록 업데이트되었습니다.
피해자의 환경에 코발트 스트라이크 비콘과 원격 관리 소프트웨어가 배포되어 QBot이 초기 액세스를 위해 쉽게 사용할 수 있었습니다. 발판을 마련한 후, 위협 행위자는 유효한 서비스 계정 자격 증명을 획득하고 측면으로 이동하여 추가 Cobalt Strike 비콘을 배포했습니다.
Office 365 관리팀은 초기 액세스를 제공한 피싱 전자 메일을 악성 전자 메일로 올바르게 식별했습니다. ZIP 파일은 abc333으로 암호로 보호되어 있었습니다. 공격자는 초기 QBot 거점을 활용하여 194.165.16[.]95의 팀 서버와 통신하는 코발트 스트라이크 비콘을 전달했습니다. 공격자들은 HTTPS 프로토콜을 사용하는 원격 액세스 소프트웨어 AnyDesk, Atera 및 Splashtop을 사용하여 통신하고 거점을 유지했습니다.
최초 액세스는 2022년 9월 26일에 REF#6547 SEP 28.HTML이라는 제목의 피싱 이메일을 통해 허용되었습니다. 릴리아퀘스트는 이 공격에서 몇 가지 시사점을 확인했으며, 여기에는 피했다면 공격의 진행을 막을 수 있었던 알려진 위험에 의해 공격자의 행동이 어떻게 도움을 받았는지 등이 포함됩니다.
HTML 스머핑 실행이 활성화되었습니다. 이메일 클라이언트에서 HTML 파일을 열었을 때 사용자에게 로컬로 다운로드하라는 메시지가 표시되었습니다. 이렇게 한 후 브라우저에서 HTML 파일을 열면 인코딩된 JavaScript 바이너리 대용량 객체(BLOB)가 나타났습니다. 그런 다음 BLOB는 ZIP 파일을 생성하여 사용자의 하드 드라이브에 다운로드했습니다.
위협 행위자는 데이터 보호 애플리케이션 프로그래밍 인터페이스(DPAPI)를 통해 계정의 인증정보 키와 상호 작용한 후 인증정보 액세스 권한을 획득했습니다. DPAPI는 사용자 인증정보를 포함한 로컬 시스템의 개인 데이터를 보호하는 데 사용됩니다. 이는 인증정보 탈취의 일반적인 표적이 되며, 이 사례의 경우 결과적으로 계정이 유출되었습니다. 사고 당시에도 사용된 Mimikatz와 같은 가장 일반적인 도구 중 일부는 자격 증명에 액세스하기 위해 DPAPI와 상호 작용하는 방법을 제공합니다. 미미카츠는 해커와 모의 침투 테스트자가 Windows 컴퓨터에서 자격 증명을 수집하는 데 사용하는 오픈 소스 멀웨어 프로그램입니다.
이 글의 출처는 릴리아퀘스트의 기사입니다.
