엘라스틱 시큐리티, 마이크로소프트 그래프 API 악용한 데이터 도용 멀웨어 경고

엘라스틱 시큐리티, 그래프 API 악용한 새로운 데이터 도용 멀웨어 경고

엘라스틱 시큐리티, 그래프 API 악용한 새로운 데이터 도용 멀웨어 경고

 

• 개요
  • 엘라스틱 시큐리티(Elastic Security)가 마이크로소프트 그래프 API와 아웃룩 메일 서비스를 악용하는 새로운 데이터 도용 멀웨어 발견
  • 멀웨어는 해시된 암호 우회 및 정교한 데이터 수집 기능을 포함
  • 공격 캠페인은 남미 외무부, 동남아시아 대학 및 통신 업체 등 주요 기관을 표적으로 함
• 공격 특징 및 주요 기술적 세부사항
  • 그래프 API 악용
    • 아웃룩 메일 서비스를 C2(Command and Control) 채널로 사용
    • API 토큰 캡처를 통해 Microsoft 365 및 클라우드 리소스에 불법 접근
  • 생활 밀착형(Living-off-the-Land) 전술 및 도구 사용
    • 윈도우 인증서 유틸리티(certutil): 인증서 처리 도구를 이용해 악성 파일 다운로드
    • 윈도우 원격 셸 플러그인(WinrsHost.exe): 내부 네트워크에서 측면 이동(Lateral Movement) 수행
    • 윈도우 서명 디버거(CDB.exe) 오용: 신뢰할 수 있는 바이너리로 위장하여 악성 셸코드 실행
  • 멀웨어 구성 요소
    • 패스로더(Pathloader)
      • 원격 서버에서 암호화된 셸코드 다운로드 및 실행
      • 샌드박스 회피 및 정적 분석 방지 위해 API 해싱 및 문자열 암호화 사용
    • 파이널드래프트(FinalDraft)
      • 데이터 유출, 프로세스 인젝션 및 명령 실행 기능 포함
      • NTLM 해시 전달 공격 지원 (Mimikatz 유사 도구 내장)
      • 수집 정보
        • 컴퓨터 이름, 사용자 계정, IP 주소(내부/외부), 실행 중인 프로세스 정보
      • 윈도우 방화벽 규칙 추가 및 TCP 리스너 설치로 지속적인 외부 연결 유지
      • 파일 삭제 전 데이터 0으로 덮어쓰기로 포렌식 분석 방해
• 공격 경로 및 방법
  1. 초기 접근
     • 유효한 자격 증명 확보 (피싱, 자격 증명 스터핑 등 가능성)
  2. 내부 확장 및 측면 이동
     • WinRM(Windows Remote Management) 도구 악용
     • 감염된 시스템 간 네트워크 탐색 및 추가 감염 시도
  3. 정보 수집 및 외부 전송
     • 파이널드래프트로 사용자 및 시스템 정보 수집
     • 그래프 API를 통한 아웃룩 이메일 통신으로 데이터 전송
  4. 증거 제거 및 지속성 유지
     • 윈도우 방화벽 규칙 추가
     • 파일 삭제 및 데이터 덮어쓰기로 탐지 회피
• 탐지 및 보안 권고
  • 탐지 지표(IOC)
    • GitHub에서 배포된 YARA 탐지 규칙 활용
    • 패스로더 및 파이널드래프트 실행 패턴 모니터링
  • 보안 권고
    • 정상적인 시스템 도구 사용 모니터링 및 경고 (LOLBins 방어 강화)
    • 정기적인 자격 증명 감사 및 관리
    • Microsoft Graph API 사용 이력 검토 및 비정상 요청 탐지
    • 강력한 MFA(다중 인증) 적용 및 API 사용 시 조건부 액세스 정책 강화
    • 이메일 및 클라우드 애플리케이션 트래픽 감시 강화
    • 엔드포인트 탐지 및 대응(EDR) 시스템 업데이트
• 결론
  • 공격자는 기업 내 신뢰할 수 있는 도구와 서비스를 악용해 탐지를 어렵게 함
  • 그래프 API와 같은 합법적 채널 악용은 탐지 우회 및 지속성 확보에 매우 효과적
  • CISO 및 보안팀은 API 기반 공격 벡터에 대한 지속적 모니터링 필요
  • LOLBins 기법과 API 악용에 대한 방어 기술 업데이트 시급