정보보안 스터디 - 35주차 5일 - 리비아 정부 감시 멀웨어 발견

 

Stealth Soldier 공격이 리비아 정부 단위를 노려 왔습니다.

 

2019년 Egypt attack 캠페인 이후부터 감시하는 맬웨어를 설치해서 정보를 빼가거나, 소리와 screen을 recording하는 등 말그대로 감시하고 있습니다. 

 

자세하게 설명하자면, 최대한 탐지되지 않도록 file exfiltration, screen/microphone recording, 키로깅, 브라우저 정보 빼가기 등을 수행하고 있습니다.

 

국가 기반의 APT 그룹이 

check point research 에 의하면 

맬웨어는 공개되지 않았고 커스텀 모듈 백도어를 사용하고 최근까지 버전업데이트를 하면서 파일을 주고받은 것으로 알려집니다.

 

 

다운로더의 원리는 자세히 알 수 없지만

C2 서버의 네트워크 infrastructure는 생각보다 크고 

spear phishing을 목적으로 만들어졌습니다. 

 

2019년 Eye on the nile 캠페인에서 사용된 인프라와 겹치고 있습니다.

처음으로 다시 보여졌으며 같은 공격자 또는 빌린 C2가 동일하게 사용되었습니다.

 

 

이러한 persistence 지속된 감염으로 인해

멀웨어의 버전 업데이트나 다른 malware를 심는데 용이했고, 공격자들의 TTP를 발전시켜나가기 좋았습니다.