보스턴 (PRWEB) ２０２４년 ２월 ２７일

사이버 레이슨, XDR 회사는 오늘 여러 글로벌 지역의 광범위한 조직을 대상으로 하는 이란 국영 사이버 스파이 활동 XNUMX건에서 이전에 식별되지 않은 멀웨어 변종을 발견했다고 발표했습니다.

악의적인 작업 중 하나는 데이터 유출 후 대상에 대해 랜섬웨어를 배포하여 시스템에 피해를 입히고 포렌식 조사를 방해하는 것이고, 다른 하나는 최근 문서화된 Memento 랜섬웨어와의 연결을 보여줍니다. 이 연구는 다음을 밀접하게 따릅니다. 발표 이란의 위협 행위자가 여러 오픈 소스 도구를 남용하는 것과 관련하여 미 사이버 사령부의 사이버 국가 임무부대(CNMF)에 의해 조사되었으며, Cybereason 연구원은 조사된 두 이란 공격 캠페인 모두에서 남용되는 오픈 소스 도구를 유사하게 관찰했습니다.

StrifeWater RAT 보고서

Cybereason 연구원들은 StrifeWater라고 불리는 이전에 문서화되지 않은 원격 액세스 트로이 목마(RAT)를 발견했는데 회사는 이란의 위협 행위자 Moses Staff에 기인한다고 밝혔습니다. 이 APT는 이란 정권의 지정학적 목표를 달성하기 위해 미국, 이스라엘, 인도, 독일, 이탈리아, 아랍에미리트, 칠레, 터키의 조직을 표적으로 삼는 것으로 관찰되었습니다. 공격자는 조직에 침투하고 민감한 데이터를 유출한 후 파괴적인 랜섬웨어를 배포하여 운영 중단을 유발하고 포렌식 조사 작업을 더 어렵게 만듭니다.

중요한 발견들

• 새로운 원격 액세스 트로이 목마(RAT): 이전에 문서화되지 않은 StrifeWater RAT는 감염 초기 단계에서 사용되며 나중에 다른 도구로 대체됩니다.
• 다양한 기능: StrifeWater RAT 기능에는 시스템 파일 나열, 시스템 명령 실행, 화면 캡처, 지속성 생성, 업데이트 및 보조 모듈 다운로드가 포함됩니다.
• 국가 후원 랜섬웨어: Moses Staff는 금전적 이득이 아니라 운영을 방해하고 스파이 활동을 난독화하며 이란의 지정학적 목표를 달성하기 위해 시스템에 피해를 주기 위해 유출 후 랜섬웨어를 사용합니다.
• 전체 보고서: StrifeWater RAT: 이란 APT Moses 직원, 랜섬웨어 작업에 새로운 트로이 목마 추가

Powerless 백도어 보고서

Cybereason 연구원들은 PowerLess라는 새로운 PowerShell 기반 백도어를 포함하는 Phosphorus 그룹(AKA Charming Kitten, APT35)에서 개발한 새로운 도구 세트를 발견했습니다. Cybereason은 또한 최근에 문서화된 Memento 랜섬웨어에 대한 명령 및 제어(C2)의 일부로 이전에 식별된 공격에 사용된 IP 주소를 관찰했습니다. Phosphorus는 의학 및 학술 연구 기관, 인권 운동가, 미디어 부문을 공격하고 알려진 Microsoft Exchange Server 취약점을 악용하고 미국 선거를 방해하려고 시도하는 것으로 알려져 있습니다.

중요한 발견들

• 새로운 PowerShell 백도어: 이전에 문서화되지 않은 백도어 PowerLess에는 키로거 및 정보 훔치기를 포함한 추가 페이로드가 포함되어 있습니다.
• 회피적 PowerShell 실행: PowerShell 코드는 .NET 애플리케이션의 컨텍스트에서 실행되므로 보안 제품을 회피할 수 있는 "powershell.exe"를 실행하지 않습니다.
• 모듈식 멀웨어: 분석된 도구 세트에는 은폐와 효율성을 위해 여러 단계에서 추가 페이로드를 해독하고 배포하는 극도로 모듈화된 다단계 멀웨어가 포함됩니다.
• Memento Ransomware와 공유 IOC: IP 주소 중 하나는 최근에 발견된 Memento Ransomware에 대한 명령 및 제어(C2)로 사용되는 도메인을 제공합니다.
• 공개적으로 사용 가능한 익스플로잇 사용: Phosphorus Group은 Microsoft Exchange(ProxyShell) 및 Log4j(Log4Shell)의 취약점을 악용하는 것으로 관찰되었습니다.
• 전체 보고서: PowerLess Trojan: 이란 APT Phosphorus, 스파이 활동을 위한 새로운 PowerShell 백도어 추가

"이러한 캠페인은 랜섬웨어 갱단이 탐지되지 않고 가능한 한 많은 표적 네트워크에 침투하기 위해 APT와 유사한 전술을 사용하는 경우가 많고 랜섬웨어와 같은 사이버 범죄 도구를 활용하여 주의를 분산시키는 국가 국가와 사이버 범죄 위협 행위자 간의 모호한 경계를 강조합니다. 사이버리슨의 공동 설립자이자 CEO인 Lior Div는 이렇게 말했습니다. “Defenders의 경우 국가의 적과 정교한 사이버 범죄 작전 사이에 더 이상 큰 차이가 없습니다. 그렇기 때문에 우리가 이러한 진화하는 위협에 보조를 맞추려면 탐지 및 예방 기능을 집합적으로 개선하는 것이 Defender로서 우리에게 중요합니다.”

사이버 이어 소개

Cybereason은 엔드포인트, 클라우드 및 전체 엔터프라이즈 에코시스템에서 공격을 끝내기 위해 Defenders와 협력하는 XDR 회사입니다. AI 기반 Cybereason XDR 플랫폼만이 최신 랜섬웨어 및 고급 공격 기술에 대해 무적의 행성 규모 데이터 수집, 운영 중심 MalOp™ 탐지 및 예측 대응을 제공합니다. Cybereason은 보스턴에 본사를 두고 40개국 이상에 고객을 보유한 비상장 국제 기업입니다.

더 알아보기 : https://www.cybereason.com/

우리를 따르십시오 : 블로그 | 트위터 | 페이스북

미디어 연락처 :

빌 킬러

글로벌 홍보 담당 수석 이사

사이버 레이슨

bill.keeler@cybereason.com

(929) 259-3261

소셜 미디어 또는 이메일에 기사 공유 :