Language
IcedID 스레드
홈페이지홈페이지 > 블로그 > IcedID 스레드
최근 뉴스

IcedID 스레드

Nov 30, 2023

공격자들은 손상된 Microsoft Exchange 서버를 사용하여 피해자를 IcedID 악성 코드로 감염시키는 스레드 하이재킹 공격을 실행하고 있습니다.

공격자들은 손상된 Microsoft Exchange 서버를 사용하여 피해자를 IcedID 악성 코드로 감염시키는 악성 첨부 파일이 포함된 피싱 이메일을 보내고 있습니다.

3월 중순에 관찰되었으며 여전히 진행 중인 것으로 보이는 최신 캠페인은 에너지, 의료, 법률 및 제약 분야의 조직을 대상으로 했습니다. 2017년에 처음 발견된 IcedID는 처음에는 공격자가 은행 자격 증명을 훔치는 방법으로 설계되었습니다. 그러나 그 이후로 악성 코드는 발전하여 현재 피해자의 컴퓨터에 2단계 페이로드를 배포하는 데 사용됩니다.

Intezer의 연구원인 Joakim Kennedy와 Ryan Robinson은 월요일에 실시한 캠페인 분석에서 “새로운 IcedID 캠페인에서 위협 행위자의 기술이 더욱 발전했다는 사실을 발견했습니다.”라고 밝혔습니다. “공격자는 이제 손상된 Microsoft Exchange 서버를 사용하여 훔친 계정에서 피싱 이메일을 보냅니다.”

연구원들은 피해자에게 최근 계약에 대해 처리되지 않은 결제에 대해 경고하고 첨부 파일에 있는 법적 문서를 가리키는 미끼로 공격에 사용된 피싱 이메일을 관찰했습니다. 이메일은 공격자가 합법적이고 손상된 이메일을 사용하고 기존 대화에 자신을 삽입하는 스레드 하이재킹을 활용하여 피싱 공격을 더욱 설득력 있게 만들고 최종 사용자가 탐지하기 어렵게 만듭니다.

첨부된 zip 아카이브 파일은 이메일에 제공된 비밀번호로 비밀번호로 보호되어 있습니다. 아카이브에는 단일 ISO 파일이 포함되어 있습니다. 피해자가 해당 파일을 클릭하면 'regsvr32' 명령줄 유틸리티를 사용해 DLL 파일을 실행하는데, 이는 main.dll에 있는 악성 코드의 프록시 실행을 허용해 방어 회피를 가능하게 하는 기술이라고 연구진은 밝혔다.

Kennedy와 Robinson은 “페이로드도 Office 문서 사용에서 Windows LNK 파일 및 DLL 파일과 함께 ISO 파일을 사용하는 것으로 이동했습니다.”라고 말했습니다. “ISO 파일을 사용하면 위협 행위자가 웹 표시 제어를 우회하여 사용자에게 경고 없이 악성 코드를 실행할 수 있습니다.”

“새로운 IcedID 캠페인에서 우리는 위협 행위자들의 기술이 더욱 발전했다는 사실을 발견했습니다."

DLL 파일은 대부분 정크 코드로 구성된 다수의 내보내기가 포함된 IcedID 페이로드용 로더입니다. 이 로더는 먼저 API 해싱을 통해 암호화된 페이로드를 찾습니다. 이는 분석가와 자동화된 도구가 코드의 목적을 판단하는 것을 방지하기 위해 맬웨어에서 일반적으로 사용되는 기술입니다. 여기서 Windows API 함수 호출은 해싱 알고리즘을 사용하여 런타임에 해결됩니다. 디코딩되어 메모리에 배치되고 실행되는 페이로드는 시스템의 지문을 채취하고 명령 및 제어(C2) 서버와 연결하여 피해자 시스템에 대한 정보를 보냅니다. 연구원들은 이 정보가 HTTP GET 요청을 통해 쿠키 헤더를 통해 밀수입된다고 밝혔습니다.

연구원들은 공격의 일부로 관찰한 손상된 Exchange 서버의 대부분이 "패치되지 않고 공개적으로 노출된 것으로 보이므로 ProxyShell 벡터가 좋은 이론이 됩니다"라고 말했습니다.

Kennedy와 Robinson은 "피싱 이메일을 보내는 데 사용되는 대부분의 Exchange 서버는 인터넷을 통해 누구나 액세스할 수 있지만 '내부' Exchange 서버로 보이는 곳에서 내부적으로 피싱 이메일이 전송되는 것도 목격했습니다."라고 말했습니다.

연구원들은 이 캠페인의 배후에 있는 위협 행위자가 액세스 브로커로 특화되어 있을 수 있다고 생각합니다. 이 악성코드는 이전에 TA577 및 TA551과 같은 액세스 브로커에 의해 활용되어 다른 위협 행위자에게 해당 액세스 권한을 판매하기 전에 조직에 대한 초기 액세스 권한을 얻습니다.

Kennedy와 Robinson은 TA551이 사용하는 기술에는 대화 하이재킹과 비밀번호로 보호된 zip 파일이 포함되어 있다고 밝혔습니다. 또한 이 그룹은 악성 DLL에 대한 서명된 바이너리 프록시 실행을 위해 regsvr32.exe를 사용하는 것으로 알려져 있습니다.

Kennedy는 IcedID가 랜섬웨어를 직접 배포하지는 않지만 랜섬웨어가 실행되기 전에 조직에 대한 추가 액세스 권한을 얻는 데 사용되는 Cobalt Strike와 같은 악성 프로그램이나 도구를 배포하는 대신 Sodinokibi, Maze 및 Egregor와 같은 랜섬웨어 제품군이 다음과 연결되어 있다고 말했습니다. IcedID를 사용하는 초기 액세스입니다. 연구원들은 조직에서 보안 교육을 실시하면 직원들이 이 캠페인에 사용된 것과 같은 피싱 이메일을 더 잘 감지하는 데 도움이 될 수 있다고 강조했습니다.