GN⁺: 클라우드플레어 터널 악용해 원격 액세스 트로이 목마 배포하는 위협 행위자

주요 발견

• Proofpoint는 TryCloudflare Tunnel을 악용한 악성코드 배포가 증가하고 있음을 관찰함
• 이 활동은 재정적 동기를 가지고 있으며 원격 접근 트로이 목마(RATs)를 배포함
• 초기 관찰 이후, 공격자들은 탐지를 피하고 효율성을 높이기 위해 전술, 기술 및 절차를 수정함
• Proofpoint는 이 활동을 특정 위협 행위자에게 귀속하지 않지만, 연구는 계속 진행 중임

개요

Proofpoint는 Cloudflare Tunnels를 악용하여 악성코드를 배포하는 사이버 범죄 활동을 추적 중임. 특히, 공격자는 계정을 생성하지 않고 일회성 터널을 만들 수 있는 TryCloudflare 기능을 악용함. 터널은 VPN이나 SSH 프로토콜처럼 로컬 네트워크에 없는 데이터와 자원에 원격으로 접근할 수 있게 함. 2024년 2월 처음 관찰된 이 클러스터는 5월부터 7월까지 활동이 증가했으며, 최근 몇 달 동안 대부분의 캠페인은 Xworm이라는 RAT로 이어짐. 대부분의 캠페인에서는 URL이나 첨부 파일이 포함된 메시지가 인터넷 바로가기(.URL) 파일로 연결됨. 실행되면 WebDAV를 통해 외부 파일 공유에 연결하여 LNK 또는 VBS 파일을 다운로드함. 실행되면 LNK/VBS는 BAT 또는 CMD 파일을 실행하여 Python 설치 패키지와 일련의 Python 스크립트를 다운로드하여 악성코드를 설치함. 일부 경우에는 search-ms 프로토콜 핸들러를 사용하여 WebDAV 공유에서 LNK를 검색함. 일반적으로 캠페인에서는 사용자가 합법적으로 보이도록 무해한 PDF를 표시함.

캠페인 예시

AsyncRAT / Xworm 캠페인 2024년 5월 28일 Proofpoint는 2024년 5월 28일에 AsyncRAT와 Xworm을 배포하는 캠페인을 관찰함. 이 캠페인에서는 세금 테마의 메시지가 URL 파일이 포함된 압축 파일로 연결됨. 이 캠페인은 법률 및 금융 분야의 조직을 대상으로 하며 총 메시지 수는 50개 미만임. URL 파일은 원격 LNK 파일을 가리킴. 실행되면 CMD 헬퍼 스크립트가 PowerShell을 호출하여 압축된 Python 패키지와 Python 스크립트를 다운로드함. Python 패키지와 스크립트는 AsyncRAT와 Xworm의 설치로 이어짐.

AsyncRAT / Xworm 캠페인 2024년 7월 11일 연구원들은 2024년 7월 11일에 Cloudflare 터널을 활용하여 AsyncRAT와 Xworm을 배포하는 또 다른 캠페인을 관찰함. 이 캠페인은 금융, 제조, 기술 등 다양한 분야의 조직을 대상으로 1,500개 이상의 메시지를 포함함. 이 캠페인에서는 HTML 첨부 파일이 search-ms 쿼리를 포함하여 LNK 파일을 가리킴. 실행되면 난독화된 BAT 파일이 PowerShell을 호출하여 Python 설치 패키지와 스크립트를 다운로드하여 AsyncRAT와 Xworm을 실행함.

귀속

캠페인에서 관찰된 전술, 기술 및 절차(TTP)에 기반하여 Proofpoint는 이를 관련 활동의 한 클러스터로 평가함. 연구원들은 이 활동을 특정 위협 행위자에게 귀속하지 않았지만, 연구는 계속 진행 중임.

중요성

Cloudflare 터널의 사용은 공격자들에게 임시 인프라를 사용하여 운영을 확장할 수 있는 유연성을 제공함. 이는 방어자와 전통적인 보안 조치가 정적 차단 목록에 의존하는 것을 어렵게 만듦. 임시 Cloudflare 인스턴스는 공격자들에게 탐지 및 제거 노출을 최소화하면서 공격을 준비할 수 있는 저비용 방법을 제공함. 공격자들이 악성코드 배포에 Python 스크립트를 사용하는 것은 주목할 만함. Python 라이브러리와 실행 파일 설치 프로그램을 Python 스크립트와 함께 패키징하면, 이전에 Python이 설치되지 않은 호스트에서도 악성코드를 다운로드하고 실행할 수 있음. 조직은 개인의 직무 기능에 필요하지 않은 경우 Python 사용을 제한해야 함. 최근 몇 달 동안 Proofpoint는 Java 기반 악성코드를 배포하는 캠페인을 관찰했으며, ZIP 내부에 JAR 및 Java Runtime Environment(JRE)를 포함하여 올바른 소프트웨어가 설치된 후 다운로더 또는 드로퍼를 실행하도록 함. 공격 체인은 최종 페이로드를 실행하기 위해 피해자의 상당한 상호작용을 요구함. 이는 수신자가 의심스러운 활동을 식별하고 공격 체인을 방해할 수 있는 여러 기회를 제공함.

Emerging Threats 서명

Emerging Threats 규칙 세트에는 이 캠페인에서 식별된 악성코드를 탐지하는 규칙이 포함됨. 예시:

• 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
• 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
• 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
• 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
• 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

예시 침해 지표

지표 | 설명 | 최초 관찰 ---|---|--- spectrum-exactly-knitting-rural[.]trycloudflare[.]com | Trycloudflare 호스트 | 2024년 5월 53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada | .URL SHA256 | 2024년 5월 a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 | LNK SHA256 | 2024년 5월 0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 | CMD SHA256 | 2024년 5월 157[.]20[.]182[.]172 | Xworm C2 IP | 2024년 5월 dcxwq1[.]duckdns[.]org | AsyncRAT C2 | 2024년 5월 a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 | HTML SHA256 | 2024년 7월 3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 | LNK SHA256 | 2024년 7월 ride-fatal-italic-information[.]trycloudflare[.]com | Trycloudflare 호스트 | 2024년 7월 0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f | BAT SHA256 | 2024년 7월 todfg[.]duckdns[.]org | AsyncRAT C2 | 2024년 7월 welxwrm[.]duckdns[.]org | Xworm C2 | 2024년 7월 xwor3july[.]duckdns[.]org | Xworm C2 | 2024년 7월

GN⁺의 정리

• 이 기사는 Cloudflare 터널을 악용한 악성코드 배포 증가에 대해 다루고 있음
• 공격자들은 Python 스크립트를 사용하여 악성코드를 배포하며, 이는 탐지와 제거를 어렵게 만듦
• 조직은 Python 사용을 제한하고 외부 파일 공유 서비스에 대한 접근을 제한해야 함
• 유사한 기능을 가진 다른 프로젝트로는 다양한 보안 솔루션이 있음