Squidoor: Multi-Vector Malware Exploiting Outlook API, DNS & ICMP Tunneling for C2
Squidoor: Multi-Vector Malware Exploiting Outlook API, DNS & ICMP Tunneling for C2
A newly identified malware, dubbed "Squidoor," has emerged as a sophisticated threat targeting government and defense.
gbhackers.com
- 공격 개요
- Squidoor, 고도로 정교한 모듈형 백도어 악성코드 등장
- 대상: 동남아시아 및 남미 지역 정부, 국방, 통신, 교육, 항공 분야
- 공격자: CL-STA-0049로 추정되는 중국 위협 그룹
- 목적: 네트워크 침투, 장기적인 지속성 유지, 기밀 데이터 유출
- 다중 프로토콜 기반 C2 통신 기법
- 다양한 방식으로 C2 서버와 은밀하게 통신
- Windows 버전: 10개 C2 방식 지원
- Linux 버전: 9개 C2 방식 지원
- 주요 C2 통신 기법
- HTTP 기반 통신
- 역방향 TCP/UDP 연결
- 내부 통신용 네임드 파이프(named pipes)
- Microsoft Graph API를 이용해 Outlook 메일 클라이언트로 위장
- Outlook API를 활용한 은닉형 C2 통신
- Microsoft 인증 플랫폼을 이용한 하드코딩된 리프레시 토큰 사용
- Outlook REST API를 통해 이메일 초안(draft)으로 명령 송수신
- 정상적인 이메일 트래픽에 숨겨 탐지 회피
- 초기 침투 및 내부 확산 전략
- IIS 서버의 취약점 악용하여 초기 접근
- 웹쉘 배포:
OutlookDC.aspx,TimeoutAPI.aspx등 - 목적: 지속적인 원격 명령 실행 및 백도어 설치
- 네트워크 내 이동 기법
curl및Impacket도구 활용- 합법적인 파일로 위장한 페이로드 배포
- 지속성 유지(Living-Off-the-Land 기법 활용)
- Microsoft Console Debugger(cdb.exe)를 fontdrvhost.exe로 위장
- 메모리 내 쉘코드 로딩으로 백신 탐지 우회
- 시작 프로그램 및 예약 작업 등록을 통해 장기적 침투 유지
- 모듈형 기능 및 탐지 회피 기법
- 호스트 정찰 및 임의 명령 실행
- 파일 유출 및 페이로드 배포
- 감염된 시스템 간 lateral communication 수행
- PowerShell 바이너리 호출 없이 PowerShell 스크립트 실행
- mspaint.exe, conhost.exe 등에 코드 인젝션 수행
- 보안 권고
- Outlook API를 통한 비정상적 이메일 송수신 모니터링
- IIS 서버 보안 패치 및 웹쉘 탐지 강화
- PowerShell 및 LOLBAS 기법 탐지를 위한 EDR 도입
- 이상 네트워크 트래픽 탐지를 위한 NDR 솔루션 활용
- 백신 우회 공격 차단을 위한 메모리 보호 및 실행 무결성 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 패치되지 않은 취약점과 제한된 EDR 가시성이 사이버 범죄 유인 (0) | 2025.03.15 |
|---|---|
| LARVA-208 해커 그룹, 618개 기관 침해 및 랜섬웨어 배포 (0) | 2025.03.15 |
| Lotus Blossom 해킹 그룹의 Sagerunex 백도어 활용 및 클라우드 기반 C2 통신 전략 (0) | 2025.03.15 |
| 머신러닝 프로젝트가 실패하는 10가지 이유와 해결책 (0) | 2025.03.11 |
| 클라우드 인프라 비용 증가 원인과 최적화 방안 (0) | 2025.03.11 |