아시아 정부, 통신사를 노리는 Stayin’ Alive 캠페인 - 보안기사 읽기 5주차 5일

아시아의 이름있는 정부와 통신사를 노리는 APT 그룹입니다.

베트남, 우즈백, 파키스탄, 카자하스탄 등의 국가를 노리는 Stayin’ Alive 캠페인이 2021년부터 시작됐습니다. 

 

다운로더와 로더를 뿌렸으며 

사용 툴은 1회용으로 서로 상관없게 보이도록 했습니다.

하지만 중국 APT 그룹인 ToddyCat infrastructure로 연결되도록 되어있습니다.

 

DLL sideloading 공격을하려고 일단 피싱 공격을 진행하구요.

 

정상적인 서명을 받은 mDNSResponder.exe 를 실행시키면

 dal_keepalives.dll 를 로드하고 

CurKeep라는 간단한 백도어를 생성합니다.

 

 

3가지 특징이 있습니다.

report - 처음에 감염 machine에 대한 기초 정보를 C2에 보냅니다.

shell - JSON 포맷의 컴퓨터이름을 XOR encrypt + base64 인코딩해서 보냅니다. C2는 command로 응답합니다.

file - 같은 메세지를 쉘로 응답하지만, 다른 포맷입니다.

 

 

백도어는 HTTP 통신으로 합니다.