ClickCease 자르두르 백도어 경보: 이슬람 자선단체를 노리는 위협 행위자

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

자르두르 백도어 경보: 이슬람 자선단체를 노리는 위협 행위자

와자핫 라자

2024년 2월 21일 TuxCare 전문가 팀

최근 사이버 위협 인텔리전스 에 따르면 사우디아라비아에 본사를 둔 익명의 이슬람 비영리 단체가 이전에 알려지지 않은 자르두어라는 백도어를 사용한 은밀한 사이버 스파이 캠페인의 희생양이 되었습니다. Cisco Talos가 발견한 2023년 5월에 의해 발견된 자르두어 백도어 공격은 2021년 3월부터 지속된 것으로 보이며, 지금까지 단 한 명의 표적만 확인되어 아직 발견되지 않은 잠재적 피해자가 있을 것으로 우려됩니다.

 

자르두어 백도어 - 은밀한 전술과 장기간의 접속


보안 연구원 안정수, 웨인 리, 반야 스바세르가 위협 행위자의 전술을 조명하며, 백도어를 배포하고, 백도어를 구축하기 위해 LoL빈(Living-off-the-Land 바이너리)을 사용하고
명령 및 제어(C2)를 구축하고 의심을 받지 않고 장기간 접속을 유지합니다. 이는 이러한 표적 공격의 정교한 특성에 대한 경각심을 불러일으킵니다. 표적 공격 그리고 오랜 기간 동안 탐지되지 않는 위협 행위자의 능력에 대한 경각심을 불러일으킵니다.


자르도어 백도어의 침입 세부 정보


이 이슬람 자선 단체에 대한 사이버 침입은 약 한 달에 두 번씩 주기적으로 데이터를 유출하는 방식으로 이루어졌습니다. 정확한 초기 접속 방법은 아직 알려지지 않았지만, 공격자들은 지속성을 위해 전략적으로 자르두어를 활용했으며, 명령 및 제어 연결을 설정하기 위해 FRP(Fast Reverse Proxy), sSocks, Venom과 같은 오픈 소스 역방향 프록시 툴을 사용했습니다.
지능형 지속 위협(APT) 은 은밀하고 장기간 지속되는 특성으로 인해 사이버 보안 전문가에게 상당한 어려움을 안겨줍니다.


측면 이동 및 도구 배치


연결을 설정한 후, 위협 행위자는 WMI(Windows 관리 계측)를 사용하여 손상된 환경 내에서 측면으로 이동했습니다. 연구원들은 다른 도구와 함께 대상 시스템에서 생성된 프로세스를 통해 자르두르가 배포되어 C2에서 받은 명령을 실행하는 것을 발견했습니다. 이 방법을 통해 공격자는 네트워크를 통해 탐색하는 동시에
멀웨어 탐지.


감염 경로 및 백도어 모듈


감염 경로는 다음과 같습니다.
드롭퍼 구성 요소 악성 동적 링크 라이브러리("oci.dll")를 배포하여 두 개의 백도어 모듈, 즉 "zar32.dll" "zor32.dll." 전자는 명령 및 제어 통신을 위한 핵심 백도어 역할을 하고, 후자는 명령 및 제어 통신을 위한 핵심 백도어 역할을 합니다. "zar32.dll" 의 배포를 보장합니다. Zardoor의 기능에는 데이터 유출, 가져온 실행 파일 및 셸 코드의 원격 실행, C2 IP 주소 업데이트, 호스트에서 자체 삭제 등이 있습니다.


어트리뷰션 과제


위협 행위자의 출처는 아직 파악하기 어렵고, 공개적으로 보고된 위협 행위자들과 전술적으로 겹치는 부분이 없습니다. 그럼에도 불구하고 이 캠페인은 '지능형 위협 행위자'의 소행으로 평가됩니다.
"지능형 위협 행위자" 작전의 정교함과 전문성을 강조합니다.


은밀한 지속성 기술


위협 행위자는 지속성을 유지하기 위해 예약된 작업으로 등록된 역방향 프록시를 사용하고 SSH를 사용하여 원격 포트 포워딩을 설정했습니다. 이 독창적인 접근 방식을 통해 손상된 네트워크에 지속적으로 은밀하게 연결할 수 있었기 때문에 한 달에 약 두 번 정도 데이터를 유출할 수 있었습니다. 

새로운 툴을 제작하고, 기존 툴을 개조하고, 합법적인 Windows 바이너리를 활용하는 데 있어 보여준 정교함의 수준은 미확인 위협 행위자의 숙련도를 강조합니다. 자선 단체 부문 보안 은 민감한 데이터를 보호하고 기부자 및 수혜자와의 신뢰를 유지하는 데 있어 매우 중요한 문제입니다.


디지털 경관 경고


세상이 점점 더 서로 연결됨에 따라,
사이버 스파이 자르두르와 같은 캠페인은 디지털 영역에 숨겨진 위험성을 극명하게 보여줍니다. 은밀함과 교묘함에 대한 이 이야기는 빠르게 진화하는 오늘날의 환경에서 경계와 강력한 사이버 보안 조치가 매우 중요하다는 점을 강조합니다.


결론


이슬람 자선 단체를 노린 자르두르 사이버 스파이 캠페인은 디지털 시대에 진화하는 지능형 위협 공격자들의 전술을 잘 보여줍니다. 사용자는 신뢰할 수 없는 출처에서 파일을 다운로드할 때 다음과 같은 악성 소프트웨어가 포함되어 있을 수 있으므로 주의해야 합니다.
악성 소프트웨어.

조직이 민감한 데이터를 보호하기 위해 노력함에 따라 이러한 정교한 기술에 대한 이해와 적응이 필수적입니다. 분석 사이버 공격 트렌드 는 오늘날의 디지털 환경에서 진화하는 위협에 한발 앞서 대응하기 위해 필수적입니다. 자르두르의 이야기는 사이버 보안 방어를 강화하기 위한 공동의 노력을 촉구하는 행동 지침이 될 것입니다. 사이버 보안 방어 사이버 보안 방어를 강화하고 보이지 않는 사이버 보안 위협 한 발 앞서 나가기 위한 노력을 촉구합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스BNN.

요약
자르두르 백도어 경보: 이슬람 자선단체를 노리는 위협 행위자
기사 이름
자르두르 백도어 경보: 이슬람 자선단체를 노리는 위협 행위자
설명
위협 공격자들이 자르두르 백도어를 악용하여 이슬람 자선 단체를 표적으로 삼는 방법을 알아보세요. 공격 전술과 그 의미에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기