브라질을 대상으로 하는 APT 공격그룹의 페이스북 CDN을 활용한 Squiblydoo 공격기법

Security/national security 2018. 3. 5. 19:37

share this post

브라질을 대상으로 하는 APT 공격그룹의 페이스북 CDN을 활용한 Squiblydoo 공격기법

브라질을 공격하는 APT 공격의 공격 방법은 트로이목마. 이미지 파일을 활용한 피싱 , 권한탈취를 이용, 피싱 사이트 , 악성브라우저와 VPN 등을 이용한 형태의 공격을 주로 시도한다.

해당 APT 공격 그룹은 Facebook의 CDN( (Content Delivery Network)) 서버를 활용하여 악의적인 파일을 배포합니다. 나중에 악의적인 파일을 활용하여 사용자를 트로이 목마로 감염시킵니다.

감염된 사용자의 IP 주소를 기반으로 사용자의 지리적 위치를 확인합니다. 피해자가 공격 대상 국가 출신이 아닌 경우 감염 작업이 중단되고 감염 루틴이 빈 마지막 단계 DLL 파일을 다운로드하여로드합니다.

그러나  이 캠페인에서 공격 대상자가 브라질일 경우 정상 EXE 파일에 악의적 행위를 할 수  있는 DLL 파일을로드합니다.

"Squiblydoo"이용 승인되지 않은 스크립트를 승인 된 스크립트 만 실행하도록 설정된 시스템에서 실행하는 방법을 활용

이 DLL 파일은 나중에 ESET가 Win32 / Spy.Banker.ADYV 로 탐지              

  브라질 사용자를 대상으로하는 은행  맬웨어 다운로더 인 Banload를 다운로드하여                  설치 합니다.

Win32 / Spy.Banker.ADYV는 2017 년 7 월 ESET의 브라질 사업부에서 DownAndExec으로 알려진 캠페인에서 금년 초에 감염된것으로 확인되었으며 같은 그룹에서 수행되었습니다.

분석가들은 이것이 2016 년 브라질을 목표로 한 Banload 캠페인 과 2015 년에 Escelar banking 트로이 목마를 이용한 또 다른 캠페인의 맬웨어 그룹이라고 생각 하며 브라질 사용자를 주요 대상으로 삼고 있습니다.

연구원은 지난 2 주 동안 페이스 북의 CDN 서버를 사용하여 여러 캠페인을 발견했으며, 이전에는 Dropbox와 Google의 클라우드 스토리지 서비스를 사용하여 동일한 악성 페이로드를 저장하는 과정은 사용자가 공격자로부터  Spoofing  된 메일을 받는 것으로 시작합니다. 

공격 받은  이메일은 지방 당국의 공식 보도자료 배포용으로 사용되며 악의적으로 이용가능한 링크(Facebook의 CDN으로 연결됩니다. 공격자는 Facebook 그룹 또는 다른 공개 섹션의 파일을 업로드하고 파일의 URL을 가져 와서 스팸 전자 메일에 추가됨)가 포함되어 있습니다.

페이스북은 자체적으로 페이스북 악성파일 , 악성링크 탐지 등 각종 보안정책 시행 중에 있다.   이용자가 악성코드에 감염된 정보를 수집하고 다른 회원의 타임라인에 스팸을 게시하거나  정보를 탈취하는 등에 대한 악성행위에 대한 대응책을 적용중이다.  

RAR 파일 : 1faa46ba708e3405e7053cde872c65cc7a7d7fbf6411374eb6e977f20c160e16

DLL 파일 : 41e463cd5d4cf20d02bb7cd23b70465480d1cd5cd3c9f8653e9f93b3a85124d8

수정 가능한 문서입니다. 읽어 주셔서 감사합니다. 

참고 자료 - https://twitter.com/malwrhunterteam/

https://www.welivesecurity.com/br/2017/07/06/downandexec-malwares-bancarios/

https://www.bleepingcomputer.com/news/security/malware-group-uses-facebook-cdn-to-bypass-security-solutions/

https://www.welivesecurity.com/br/2017/07/06/downandexec-malwares-bancarios/

http://www.boannews.com/media/view.asp?idx=67074&kind=1&search=title&find=%C6%E4%C0%CC%BD%BA%BA%CF

http://www.boannews.com/media/view.asp?idx=66062&page=1&kind=3&search=title&find=%C6%E4%C0%CC%BD%BA%BA%CF

https://securityintelligence.com/brazilian-malware-client-maximus-maximizing-the-mayhem/

https://securityintelligence.com/the-brazilian-malware-landscape-a-dime-a-dozen-and-going-strong/

http://www.malware-traffic-analysis.net/2017/10/23/index2.html

https://securelist.com/brazilian-banking-trojans-meet-powershell/75831/

http://www.malware-traffic-analysis.net/2017/11/15/index.html

728x90

저작자표시 비영리 변경금지

'Security > national security' 카테고리의 다른 글

[국가정보학]국가안보론 국가의 기원 / 성격 / 형태 (1)	2018.08.20
[국가정보학]국가안보론 위험과 딜레마 요약 정리 (1)	2018.06.20
육군정보통신병과에 대한 정보 "통(通)하라" 그러면 이룰 것이다. (0)	2017.07.05
북한 무인기 추정비행체 성주 사드 배치 사진 10여장 촬영 (0)	2017.06.13
국가정보원, 30일까지 ‘제2회 안보홍보 아이디어 공모전’ 진행 (0)	2017.06.05

WRITTEN BY

: J cert
Freedom of Liberty and the establishment of a law to establish the law of cyberspace will defend freedom and try to build a just society.

IntelligenceSecurityCERT Freedom of Liberty and the establishment of a law to establish the law of cyberspace will defend freedom and try to build a just society.

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

브라질을 대상으로 하는 APT 공격그룹의 페이스북 CDN을 활용한 Squiblydoo 공격기법

'Security > national security' 카테고리의 다른 글

티스토리툴바

개인정보

티스토리툴바

개인정보

단축키

내 블로그

블로그 게시글

모든 영역