군사 및 정부 기관을 겨냥한 다크 핑크 해커 그룹

보안 연구원들이 Group IB에서 최근 공격을 분석한 결과, 다크 핑크 APT 해킹 그룹이 2023년에도 여전히 활동 중이며 브루나이, 베트남, 인도네시아의 군사, 정부 및 교육 기관을 겨냥하고 있다는 사실을 발견했습니다.

최근 공격에서 위협 그룹은 개편된 공격 체인을 보여주었고, 다양한 지속적인 방법을 실행했으며, 새로운 데이터 유출 도구를 배포하여 공개적으로 이용 가능한 침해 지표와 그들의 활동을 분리하여 탐지를 피하려고 했습니다.

연구원들은 해커 그룹의 이전 캠페인을 분석한 후 이 사실을 언급했습니다. 연구원들은 벨기에의 교육 기관과 태국의 군사 기지에 대한 추가 침해를 발견했습니다.

다크 핑크 APT는 주로 아시아 태평양 지역의 군사 및 정부 기관을 대상으로 캠페인을 운영하는 해커 그룹으로, 2021년 중반부터 활동해왔습니다. 이 그룹은 2023년 1월 Group IB의 보고서에 의해 처음으로 드러났습니다.

Group IB에 의해 위협 행위자들이 노출되었음에도 불구하고 해커 그룹은 전혀 속도를 늦추지 않았으며, 이 회사에 따르면 이전 보고서를 작성한 이후 다크 핑크 APT 그룹에 의해 최소 다섯 건의 공격이 발생한 것으로 확인되었습니다.

읽기: WordPress 플러그인 취약점: 대규모 공격이 아름다운 쿠키 동의 배너를 목표로 함

다크 핑크 공격은 초기 감염을 위한 스피어 피싱을 통해 전송된 ISO 아카이브에 의존하고 있으며, 이는 DLL 사이드 로딩을 사용하여 시그니처 백도어인 Tele PowerBot 및 KamiKakaBot을 시작합니다.

새로운 구성 요소는 공격자들이 KamiKakaBot 프로세스를 데이터 절취와 장치 제어의 두 부분으로 나누었다는 것입니다. 또한, 메모리에 로드되어 데스크탑에서 끝나지 않도록 합니다. 이는 안티바이러스 소프트웨어가 메모리에서 시작되는 방법을 감시하지 않기 때문에 탐지를 피하는 데 도움이 됩니다.

백도어 KamiKakaBot은 여전히 웹 브라우저에 저장된 데이터를 목표로 하며, 이를 위협 행위자에게 텔레그램을 통해 전송합니다. 이 외에도 백도어는 손상된 장치에서 임의의 스크립트를 다운로드하고 실행할 수 있습니다.

보안 회사는 다크 핑크가 감염된 장치에서 악성 맬웨어에 의해 다운로드된 추가 모듈을 호스팅하기 위해 개인 GitHub 리포지토리를 사용하고 있음을 발견했습니다.

해커들은 2023년 동안 리포지토리에서 총 12개의 커밋만 수행했으며, 대부분은 맬웨어 PowerShell 스크립트, ZMsg 정보 탈취기, 맬웨어 드로퍼 및 Nethua 권한 상승 도구를 추가하거나 업그레이드하기 위한 것이었습니다.

PowerShell 스크립트 중 하나는 맬웨어의 자료 이동 전략을 위한 Censorious로, 네트워크 내 SMB 공유를 식별하고 상호작용하는 데 도움을 줍니다. 이 스크립트는 GitHub에서 ZIP 아카이브를 가져와 로컬 디렉토리에 저장한 다음 아카이브의 실행 파일과 연결된 각 SMB 공유에 LNK 파일을 만듭니다.

피해자가 LNK 파일을 열면, LNK 파일은 악성 실행 파일을 실행하여 해킹 그룹의 전파를 네트워크 전반에 걸쳐 전달하고 더 많은 시스템으로의 확장을 도모합니다.

다크 핑크는 감염된 시스템에서 그들이 운영에 활용할 수 있는 정품 소프트웨어 및 배포 도구의 존재를 확인하기 위해 PowerShell 명령을 사용합니다.

이 도구에는 프록시 실행, 추가 페이로드 다운로드 등을 위해 활용될 수 있는 “AceCheckConsole.exe, remote exe, Extexport.exe, MSPUB.exe, MSOHTMED.exe”가 포함됩니다. 그러나 이 회사는 이러한 도구가 공격에서 활용된 사례를 보지 못했습니다.

Group IB는 해커 그룹이 데이터 유출 프로세스에서 변화를 보였으며 ZIP 아카이브를 넘어 텔레그램 채널로 나아가고 있다고 보고했습니다.

또한, 일부 시나리오에서는 해커들이 DropBox 업로드를 사용했고, 다른 시나리오에서는 그룹이 Webbook.site 서비스 또는 Windows 서버 내에서 생성된 임시 익스플로잇을 사용하여 HTTP 유출을 이용했습니다.

더욱이, 스크립트는 감염된 시스템에서 대상 파일의 위치를 확인한 후 PUT 프로세스를 사용하여 외부 주소에 파일을 업로드하기 위해 새로운 WebClients 객체를 생성하여 데이터를 유출할 수 있는 기능도 가지고 있습니다.

읽기: CISA, 안드로이드 ASLR 우회를 허용하는 삼성 장치의 보안 결함 경고