APT 그룹 ‘미스터리어스 엘리펀트’, 해킹 역량 진화하며 활동 강화
[보안뉴스 김형근 기자] ‘미스터리어스 엘리펀트’(Mysterious Elephant)라는 이름의 지능형지속위협(APT) 해킹 그룹이 최근 몇 달간 아시아-태평양 지역의 정부 및 외교 기관을 상대로 공격을 강화하고 있다.
카스퍼스키 시큐어리스트 연구팀에 따르면, 이 그룹은 맞춤형 악성코드와 변형된 오픈소스 유틸리티를 결합하며 탐지를 회피한다.
처음 존재가 알려진 2023년 즈음엔 단순한 피싱 공격을 주로 사용했으나 올해 들어 공격 방식이 크게 진화했다.
[자료: 카스퍼스키]
초기 이 그룹은 ‘CVE-2017-11882’라는 오래된 취약점을 악용해 악성 오피스 문서를 숨긴 스피어 피싱 이메일을 활용하는 방식을 썼다. 사용자가 이 문서와 상호작용하면, ‘밥쉘’(BabShell)이라는 경량의 파워쉘(PowerShell) 로더가 작동해 공격자가 통제하는 인프라에서 더 복잡한 악성 페이로드를 다운로드한다.
올해 들어선 ‘멤로더 히든데스크’(MemLoader HidenDesk)라는 2단계 로더를 통합했다는 점이 눈에 띈다.
민감한 왓츠앱 데이터 유출이 주 목표
이 로더는 원격 접속 트로이 목마(RAT)를 디스크에 흔적을 남기지 않고 직접 메모리에 주입해 포렌식 증거를 대폭 줄이고 장기간 탐지망을 피할 수 있게 한다.
이들의 후속 작전은 민감한 정보 탈취에 집중됐다. ‘Uplo Exfiltrator’ 및 ‘Stom Exfiltrator’ 등 맞춤 제작된 유출 도구를 사용해 왓츠앱 메신저에 담긴 문서나 이미지, 아카이브 등 민감 정보를 외부로 빼낸다.
▲미스터리어스 엘리펀트 그룹이 사용한 피싱 이메일 [자료: 카스퍼스키]
탈취된 데이터는 XOR 기반 난독화를 거쳐 HTTP 통신을 이용해 ‘storycentral.net’ 같은 와일드카드 DNS 도메인으로 전송됐다.
이들은 정상적인 도메인과 HTTPS를 악용, 악성 트래픽을 기업 등에서 나오는 일반적 웹 데이터와 섞어 네트워크 기반 탐지를 복잡하게 만들었다.
은밀한 감염 메커니즘과 방어 전략
전체 감염 과정은 RTF 문서 형태의 ‘회의 초대장’으로 위장한 스피어 피싱 이메일에서 시작된다. 문서가 열리면 ‘오피스 수식 편집기’(Equation Editor)의 메모리 손상 취약점이 발동되어 숨김 모드의 파워쉘 프로세스가 실행된다.
파워쉘은 .NET의 웹클라이언트(WebClient) 클래스를 이용해 밥쉘 DLL을 다운로드하고, 밥쉘은 명령 및 제어(C2) URL이 포함된 구성 정보를 복호화하고 시스템 서비스 프로세스에 멤로더 히든데스크 모듈을 주입한다.
이 메모리 상주형 로더는 렘코스(Remcos) 변종인 RAT 페이로드를 실행시켜 디스크 쓰기를 회피, 해킹 흔적을 지운다. 이를 통해 미스터리어스 엘리펀트는 은밀히 횡적 이동을 하며 데이터를 탈취할 수 있다.
이들은 오픈소스 코드를 독자적으로 수정해 활용하는 등 풍부한 지원과 높은 기술력을 가진 것으로 추정된다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] ‘미스터리어스 엘리펀트’(Mysterious Elephant)라는 이름의 지능형지속위협(APT) 해킹 그룹이 최근 몇 달간 아시아-태평양 지역의 정부 및 외교 기관을 상대로 공격을 강화하고 있다.
카스퍼스키 시큐어리스트 연구팀에 따르면, 이 그룹은 맞춤형 악성코드와 변형된 오픈소스 유틸리티를 결합하며 탐지를 회피한다.
처음 존재가 알려진 2023년 즈음엔 단순한 피싱 공격을 주로 사용했으나 올해 들어 공격 방식이 크게 진화했다.
[자료: 카스퍼스키]
초기 이 그룹은 ‘CVE-2017-11882’라는 오래된 취약점을 악용해 악성 오피스 문서를 숨긴 스피어 피싱 이메일을 활용하는 방식을 썼다. 사용자가 이 문서와 상호작용하면, ‘밥쉘’(BabShell)이라는 경량의 파워쉘(PowerShell) 로더가 작동해 공격자가 통제하는 인프라에서 더 복잡한 악성 페이로드를 다운로드한다.
올해 들어선 ‘멤로더 히든데스크’(MemLoader HidenDesk)라는 2단계 로더를 통합했다는 점이 눈에 띈다.
민감한 왓츠앱 데이터 유출이 주 목표
이 로더는 원격 접속 트로이 목마(RAT)를 디스크에 흔적을 남기지 않고 직접 메모리에 주입해 포렌식 증거를 대폭 줄이고 장기간 탐지망을 피할 수 있게 한다.
이들의 후속 작전은 민감한 정보 탈취에 집중됐다. ‘Uplo Exfiltrator’ 및 ‘Stom Exfiltrator’ 등 맞춤 제작된 유출 도구를 사용해 왓츠앱 메신저에 담긴 문서나 이미지, 아카이브 등 민감 정보를 외부로 빼낸다.
▲미스터리어스 엘리펀트 그룹이 사용한 피싱 이메일 [자료: 카스퍼스키]
탈취된 데이터는 XOR 기반 난독화를 거쳐 HTTP 통신을 이용해 ‘storycentral.net’ 같은 와일드카드 DNS 도메인으로 전송됐다.
이들은 정상적인 도메인과 HTTPS를 악용, 악성 트래픽을 기업 등에서 나오는 일반적 웹 데이터와 섞어 네트워크 기반 탐지를 복잡하게 만들었다.
은밀한 감염 메커니즘과 방어 전략
전체 감염 과정은 RTF 문서 형태의 ‘회의 초대장’으로 위장한 스피어 피싱 이메일에서 시작된다. 문서가 열리면 ‘오피스 수식 편집기’(Equation Editor)의 메모리 손상 취약점이 발동되어 숨김 모드의 파워쉘 프로세스가 실행된다.
파워쉘은 .NET의 웹클라이언트(WebClient) 클래스를 이용해 밥쉘 DLL을 다운로드하고, 밥쉘은 명령 및 제어(C2) URL이 포함된 구성 정보를 복호화하고 시스템 서비스 프로세스에 멤로더 히든데스크 모듈을 주입한다.
이 메모리 상주형 로더는 렘코스(Remcos) 변종인 RAT 페이로드를 실행시켜 디스크 쓰기를 회피, 해킹 흔적을 지운다. 이를 통해 미스터리어스 엘리펀트는 은밀히 횡적 이동을 하며 데이터를 탈취할 수 있다.
이들은 오픈소스 코드를 독자적으로 수정해 활용하는 등 풍부한 지원과 높은 기술력을 가진 것으로 추정된다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
