'Earth Estries'의 APT 공격으로 정부와 맞춤형 악성코드 공격

Jul 24, 2023

새로 확인된 위협 행위자가 전 세계 정부와 기술 조직으로부터 조용히 정보를 훔치고 있습니다.

진행 중인 캠페인은 "Earth Estries"의 도움으로 진행됩니다. Trend Micro의 새로운 보고서에 따르면 이전에 알려지지 않은 그룹은 적어도 2020년부터 존재했으며 다른 사이버 스파이 조직인 FamousSparrow와 어느 정도 겹칩니다. 표적은 동일한 두 산업 분야에서 나오는 경향이 있지만 미국에서 필리핀, 독일, 대만, 말레이시아, 남아프리카공화국까지 전 세계에 걸쳐 있습니다.

Earth Estries는 Cobalt Strike와 같은 다른 도구와 함께 DLL 사이드로딩을 사용하여 세 가지 맞춤형 악성 코드(백도어 2개, 인포스틸러 1개)를 실행하는 경향이 있습니다. Trend Micro의 연구원들은 "Earth Estries의 배후에 있는 위협 행위자들은 사이버 스파이 활동과 불법 활동에 있어 높은 수준의 자원을 활용하고 정교한 기술과 경험을 바탕으로 활동하고 있습니다"라고 밝혔습니다.

Earth Estries는 Zingdoor, TrillClient 및 HemiGate라는 세 가지 고유한 악성 코드 도구를 보유하고 있습니다.

Zingdoor는 2022년 6월에 처음 개발된 HTTP 백도어이며 이후 제한된 경우에만 배포되었습니다. Golang(Go)으로 작성되어 크로스 플랫폼 기능을 제공하고 UPX로 포장되어 있습니다. 시스템 및 Windows 서비스 정보를 검색할 수 있습니다. 파일 열거, 업로드 또는 다운로드 호스트 시스템에서 임의의 명령을 실행합니다.

TrillClient는 설치 프로그램과 Infostealer의 조합으로 Go로 작성되었으며 Windows 캐비닛 파일(.cab)로 패키지되어 있습니다. 이 스틸러는 탐지를 피하기 위해 명령에 따라 또는 임의의 간격으로 작동하거나 절전 모드로 전환하는 기능을 추가하여 브라우저 자격 증명을 수집하도록 설계되었습니다. Zingdoor와 함께 그루터기 분석 도구를 위해 설계된 맞춤형 난독 처리기를 자랑합니다.

그룹의 가장 다각적인 도구는 백도어 HemiGate입니다. 이 다중 인스턴스 올인원 악성 코드에는 키로깅, 스크린샷 캡처, 명령 실행, 파일, 디렉터리 및 프로세스 모니터링, 추가, 삭제 및 편집 기능이 포함되어 있습니다.

지난 4월, 연구원들은 Earth Estries가 관리 권한이 있는 손상된 계정을 사용하여 조직의 내부 서버를 감염시키는 것을 관찰했습니다. 해당 계정이 어떤 수단으로 손상되었는지는 알 수 없습니다. Cobalt Strike를 심어 시스템에 거점을 마련한 다음 SMB(서버 메시지 블록) 및 WMI 명령줄을 사용하여 자체 악성 코드를 파티에 가져왔습니다.

그 방법에 있어서 Earth Estries는 깨끗하고 신중한 운영이라는 인상을 줍니다.

예를 들어, 호스트 시스템에서 악성 코드를 실행하기 위해 DLL 사이드로딩이라는 까다로운 방법을 안정적으로 선택합니다. 그리고 연구원들은 "공격자들은 각 작업 라운드를 마친 후 정기적으로 기존 백도어를 청소하고 다음 라운드를 시작할 때 새로운 악성 코드를 재배포했습니다. 우리는 이들이 노출 및 탐지 위험을 줄이기 위해 이렇게 한다고 믿습니다."라고 설명했습니다.

DLL 사이드로딩과 그룹이 사용하는 또 다른 도구인 Fastly CDN은 Earth Longzhi와 같은 APT41 하위 그룹에서 인기가 있습니다. Trend Micro는 또한 Earth Estries의 백도어 로더와 FamousSparrow 사이의 중복을 발견했습니다. 그럼에도 불구하고 Earth Estries의 정확한 기원은 불분명합니다. C2 인프라가 캐나다에서 호주, 핀란드, 라오스까지 지구 반구 전체에 걸쳐 5개 대륙에 걸쳐 분산되어 있으며 미국과 인도에 집중도가 가장 높은 것도 도움이 되지 않습니다.

전 세계 정부 및 기술 조직에 대한 캠페인이 오늘날에도 계속 진행되고 있으므로 연구원들은 곧 이 그룹에 대해 더 많이 알게 될 것입니다.