Language
어스 프레타 스피어

블로그

홈페이지홈페이지 / 블로그 / 어스 프레타 스피어
search

Jun 04, 2023

2024년 토요타 타코마의 인테리어 및 재설계에 대해 확인된 10가지 변경 사항

Aug 25, 2023

Nintendo Switch로 절대 하지 말아야 할 10가지

Jul 15, 2023

직원의 임금 인상 요청을 재치 있게 거절하는 10가지 방법

Sep 27, 2023

11 최고의 USB

Jan 18, 2024

여성을 위한 12가지 최고의 정형외과 샌들, 발병 전문의

문의 보내기
제출하다

Oct 19, 2023

어스 프레타 스피어

APT 및 표적 공격 첨단 사이버 스파이 활동을 세분화합니다.

APT 및 표적 공격

지난 3월 시작된 대규모 공격 전개에서 관찰된 지능형 지속 위협(APT) 그룹 Earth Preta의 사이버 스파이 활동을 분석합니다. 또한 TONEINS, TONESHELL 및 PUBLOAD 등 전 세계 여러 부문을 감염시키는 데 사용하는 맬웨어 계열의 감염 루틴도 보여줍니다.

작성자: Nick Dai, Vickie Su, Sunny Lu 2022년 11월 18일 읽기 시간: ( 단어)

Folio에 저장

우리는 전 세계적으로 정부, 학계, 재단, 연구 부문을 표적으로 삼는 스피어 피싱 공격의 물결을 모니터링해 왔습니다. 우리가 야생에서 관찰한 미끼 문서에 따르면 이는 3월쯤 시작된 대규모 사이버 스파이 활동이다. 몇 달 동안 추적한 결과, 표적 공격이 광범위하게 발생한 것으로 보이는 국가는 미얀마, 호주, 필리핀, 일본 및 대만을 포함하되 이에 국한되지 않습니다. 우리는 이 캠페인에 사용된 맬웨어 계열을 분석하고 이 사건의 원인이 Earth Preta(Mustang Panda 및 Bronze President라고도 함)라는 악명 높은 APT(지능형 지속 위협) 그룹에 의한 것으로 판단했습니다.

캠페인을 관찰한 결과 Earth Preta는 가짜 Google 계정을 악용하여 스피어 피싱 이메일을 통해 멀웨어를 배포했으며, 처음에는 rar/zip/jar 등의 아카이브 파일에 저장되고 Google 드라이브 링크를 통해 배포된 것으로 나타났습니다. 그런 다음 사용자는 TONEINS, TONESHELL 및 PUBLOAD와 같은 악성 코드를 다운로드하고 실행하도록 유도됩니다. PUBLOAD는 이전에 보고되었지만 이 항목에는 그룹에서 캠페인에 사용하는 새로 발견된 악성 코드 계열인 TONEINS 및 TONESHELL과 연결되는 새로운 기술적 통찰력을 추가합니다.

또한 공격자는 감지 및 분석을 회피하기 위해 코드 난독화 및 사용자 지정 예외 처리기와 같은 다양한 기술을 활용합니다. 또한, 스피어 피싱 이메일의 발신자와 구글 드라이브 링크의 소유자가 동일한 것으로 확인되었습니다. 피해자를 유인하는 데 사용된 샘플 문서를 기반으로 우리는 공격자가 이전에 손상된 계정의 이름 약어로 표시된 대로 친숙성을 허용하는 대상 조직에 대한 연구 및 잠재적으로 사전 침해를 수행할 수 있었다고 믿습니다. .

이 블로그 항목에서는 Earth Preta의 새로운 캠페인과 새로운 설치 프로그램 및 백도어를 포함한 전술, 기술 및 절차(TTP)에 대해 논의합니다. 마지막으로 보안 실무자가 우리가 식별한 것과 유사한 맬웨어 위협을 추적할 수 있는 방법을 공유합니다.

초기 침해 및 목표

이 위협에 대한 우리의 모니터링에 따르면 미끼 문서는 버마어로 작성되었으며 내용은 "လျှို့ဝှက်ချက်"("내부 전용")입니다. 해당 문서의 주제는 대부분 국가 간 논란이 되는 사안으로 '비밀', '기밀' 등의 단어가 포함돼 있다. 이는 공격자들이 첫 번째 진입점으로 미얀마 정부 기관을 표적으로 삼고 있음을 나타낼 수 있습니다. 이는 또한 공격자가 공격 이전에 특정 정치 단체를 이미 손상시켰다는 것을 의미할 수도 있으며, 이는 Talos Intelligence도 이전에 언급한 바 있습니다.

공격자는 훔친 문서를 미끼로 사용하여 미얀마 정부 기관과 협력하는 대상 조직을 속여 악성 파일을 다운로드하고 실행하도록 합니다. 피해자학은 전 세계적으로 광범위한 조직과 업종을 포괄하며, 특히 아시아 태평양 지역에 집중되어 있습니다. 미얀마에서 공동 작업을 수행한 정부 기관 외에도 교육 및 연구 산업 등의 피해자가 뒤따랐습니다. 공격자는 특정 조직과 관련하여 진행 중인 국제 행사를 다루는 미끼 주제 외에도 음란물과 관련된 주제 제목으로 개인을 유인합니다.

루틴 분석

Earth Preta는 침입을 위한 첫 번째 단계로 스피어 피싱 이메일을 사용합니다. 앞서 언급한 바와 같이 이메일의 제목과 내용 중 일부는 지정학적 주제를 다루는 반면, 일부는 선정적인 주제를 포함할 수도 있습니다. 우리가 분석한 모든 이메일에는 Google 드라이브 링크가 포함되어 있다는 사실을 발견했습니다. 이는 사용자가 악성 아카이브를 다운로드하도록 속일 수 있음을 나타냅니다. 아카이브의 파일 형식에는 .rar, .zip, .jar 등의 압축 파일이 포함됩니다. 링크에 액세스한 결과 아카이브에 TONEINS, TONESHELL 및 PUBLOAD 악성 코드 계열이 포함되어 있다는 사실을 알게 되었습니다.

Both .exe and .dll files will be renamed C:\Users\Public\Pictures\adobe_wf.exe and C:\Users\Public\Pictures\libcef.dll, respectively. Additionally, "~" is renamed as 05-09-2022.docx and dropped to the Desktop. /p>. Both files have fake file extensions and masquerade as the temporary files generated while opening Microsoft Office software./p> and drops all the malware, including the malicious DLL and the legitimate executable, into the directory. It then tries to establish persistence in one of the following ways:/p>