1. Fileless IceApple Post-Exploitation Framework
Reference: https://www.crowdstrike.com/blog/falcon-overwatch-detects-iceapple-framework/ / https://www.boannews.com/media/view.asp?idx=106727&page=1&mkind=1&kind=1
CrowdStrike 팀에서 IceApple 이라는 .NET 기반 프레임워크를 발견하였다. 해당 프레임워크는 2021년 후반에 처음 확인되었으며, 지리적으로 여러 위치에 있는 다양한 피해자 환경에서 확인되었다. 현재까지는 MS Exchange 서버 인스턴스에 배포되는 것으로 관찰되었으며 모든 IIS 웹 응용 프로그램에서 실행될 수 있다.
IceApple 은 공격 이후 사용되는 프레임워크로, 이미 엑세스가 된 이후 추가적인 목적을 위해 사용된다. 크리덴셜 수집, 파일 삭제, 디렉토리 삭제, 데이터 유출 등의 기능을 포함하는 18개의 모듈이 식별되었다. 이러한 모듈들은 메모리에서만 돌아가게 되어있어서 더욱 탐지하기 어려운것으로 확인되었다. 또한 어셈블리 파일 이름을 정상 IIS 임시 파일처럼 만들어 확인 하기가 더욱 어렵다.
2. Eternity malware kit: stealer, miner, worm, ransomware
Reference: https://blog.cyble.com/2022/05/12/a-closer-look-at-eternity-malware/ / https://www.bleepingcomputer.com/news/security/eternity-malware-kit-offers-stealer-miner-worm-ransomware-tools/
다양한 모듈을 사용자가 지정하여 실행할 수 있는 악성코드 툴킷인 Eternity Project 가 malware-as-a-service 형태로 공급이 시작되었다.
해당 툴킷은 모듈식으로 정보탈취, 코인 채굴, clipper, 랜섬웨어, 웜, DDoS 봇 등의 기능이 가능하며 각각 개별 구매가 가능하다. 이러한 내용은 텔레그램 채널에서 홍보되고 있으며, 이를 통해 업데이트, 사용방법에 대한 릴리스가 게시되고 기능 제안에 대해 논의된다.
Jester stealer와 몇가지 유사점이 있으며, 두가지 모두 DynamicStealer(https://github.com/L1ghtM4n/DynamicStealer) 프로젝트에서 파생되었을 가능성이 있다.
- 정보 탈취 모듈: $260/년
- 20개 이상의 웹브라우저에 저장된 비밀번호, 카드정보, 책갈피, 토큰, 쿠키 및 자동 완성 데이터를 훔칠 수 있다.
- 또한 암호화폐 정보와 암호 관리자, VPN 클라이언트, 메신저 및 게임 클라이언트도 정보 탈취의 대상이 된다.
- clipper: $110
- 클립보드에서 암호화폐 지갑 주소를 모니터링하여 운영자가 제어하는 지갑으로 교체
- 채굴: $90
- 작업관리자 숨기기, 종료 시 자동 재시작(지속성)
- 웜: $390
- USB 드라이버, 로컬 네트워크 공유, 로컬 파일, 클라우드 드라이브, 파이썬 프로젝트, 디스코드/텔레그램 계정 등을 통한 자체 확산
- 랜섬웨어: $490
- AES와 RSA의 조합을 사용한 오프라인 암호화 지원
- 문서, 사진, DB 대상
IOC
Eternity Stealer Payload
- MD5: 8d52a66459df0ea387d5aab3fc7a2bc9
- SHA1: 1707b034483eb9f279dfaa3a8862592bddb2ac4e
- SHA256: eb812b35acaeb8abcb1f895c24ddba8bb32f175308541d8db856f95d02ddcfe2
Eternity Clipper Payload
- MD5: c4b46a2d0898e9ba438366f878cd74bd
- SHA1: f95a0529fbb8aa61cd3dee602fa6555b2c86dd62
- SHA256: 025e74a98cb22aab0eb2dbff69cb5abd4f1d529925d9e456f92f5fd6ff1e11c3
Eternity Ransomware Payload
- MD5: 76c5b877fb931ed728df30c002bf8823
- SHA1: 16a8a21ef1a30849bedc514e42286de7676db5af
- SHA256: 55bf0aa9c3d746b8e47635c2eae2acaf77b4e65f3e6cbd8c51f6b657cdca4c91
Eternity Worm Payload
- MD5: b35aa57c5c963bde7abee2a4e459b146
- SHA1: e0817176fa7e1875a5d301b47d9a9a6977c39da5
- SHA256: 656990efd54d237e25fdb07921db3958c520b0a4af05c9109fe9fe685b9290f7
'깔짝할짝' 카테고리의 다른 글
| 2022-05-31 Tue (0) | 2022.05.31 |
|---|---|
| 2022-05-30 Mon (0) | 2022.05.30 |
| 2022-05-10 Tue (0) | 2022.05.10 |
| 2022-05-09 Mon (0) | 2022.05.09 |
| 2022-04-25 Mon (0) | 2022.04.25 |