Lotus Blossom 해킹 그룹의 Sagerunex 백도어 활용 및 클라우드 기반 C2 통신 전략

Lotus Blossom espionage group targets multiple industries with different versions of Sagerunex and hacking tools

Lotus Blossom espionage group targets multiple industries with different versions of Sagerunex and hacking tools

 

Lotus Blossom Hacker Group Uses Dropbox, Twitter, and Zimbra for C2 Communications

Lotus Blossom Hacker Group Uses Dropbox, Twitter, and Zimbra for C2 Communications

 

• 공격 개요
  • 해킹 그룹 Lotus Blossom(다른 명칭: Spring Dragon, Billbug, Thrip), 2012년부터 활동 중
  • 정부, 제조업, 통신, 미디어 분야 대상 사이버 스파이 활동 수행
  • 주요 공격 지역: 필리핀, 베트남, 홍콩, 대만 등
  • Cisco Talos 연구팀, Sagerunex 백도어 사용을 근거로 Lotus Blossom 소행으로 평가
• Sagerunex 백도어 활용 및 변종 개발
  • Sagerunex 백도어, 최소 2016년부터 사용
  • 기존에는 가상 사설 서버(VPS) 기반 C2 서버 사용
  • 최신 변종에서는 Dropbox, Twitter, Zimbra 웹메일 API를 활용한 C2 통신 방식 도입
  • 백도어의 주요 기능
    • 원격 제어 및 지속적인 감염 유지
    • 다양한 네트워크 연결 전략 활용
    • 감염 시스템 정보 수집 및 데이터 유출
• 클라우드 서비스 악용 전략
  • Dropbox 및 Twitter 변종
    • Dropbox API 및 Twitter 토큰을 활용하여 C2 서버 통신
    • 초기 점검 후, 수집된 데이터를 암호화하여 Dropbox에 업로드하거나 Twitter를 통해 전송
  • Zimbra 웹메일 변종
    • Zimbra 계정에 로그인하여 인증 토큰 획득
    • 공격자가 명령을 실행할 수 있도록 Zimbra 웹메일 내 드래프트 폴더에 암호화된 데이터 저장
  • 이러한 방식은 정상적인 클라우드 트래픽으로 위장하여 탐지 회피
• 지속성 확보 및 정찰 활동
  • 시스템 레지스트리 변조를 통한 Sagerunex 백도어 실행 유지
  • 주요 정찰 명령 실행
    • netstat, ipconfig, tasklist 등을 이용해 사용자 계정 및 네트워크 정보 수집
  • 지속적인 감염을 위한 추가 도구 활용
    • Chrome 쿠키 탈취 도구: 브라우저 인증 정보 수집
    • Venom 프록시 도구: 인터넷 연결 우회
    • 압축 및 암호화 도구: 수집된 파일을 특정 경로에 저장 후 전송
    • 포트 릴레이 도구: 감염된 시스템에서 외부 서버와 연결 유지
• 공격 과정 및 감염 지속화 전략
  • Impacket 도구를 활용하여 원격 명령 실행 및 lateral movement 수행
  • HKLM\SYSTEM\CurrentControlSet\Services 레지스트리 키 변경하여 악성 DLL 실행 유지
  • 공용 폴더(public\pictures) 내 악성 코드 저장하여 탐지 회피
• 보안 권고
  • 클라우드 서비스 및 API 사용 트래픽에 대한 모니터링 강화 필요
  • 시스템 및 네트워크에서 비정상적인 프로세스 실행 감지 및 차단
  • 멀티팩터 인증(MFA) 및 강력한 접근 통제 적용
  • Chrome 및 Firefox 브라우저 보안 설정 강화 및 쿠키 보호 정책 적용
  • 보안 인텔리전스를 활용한 위협 탐지 및 침해 지표(IOC) 분석 수행