BellaCPP, Charming Kitten's BellaCiao variant written in C++
BellaCPP, Charming Kitten's BellaCiao variant written in C++
Iran-linked APT group Charming Kitten has been observed using a new variant of the BellaCiao malware dubbed BellaCPP, Kaspersky warns.
securityaffairs.com
- BellaCPP 발견 배경
- Charming Kitten(이란 연계 APT 그룹)이 C++로 작성된 BellaCPP를 사용한 사례가 Kaspersky에 의해 보고됨
- BellaCPP는 이전 BellaCiao(.NET 기반)의 변종으로, 2023년 4월 Bitdefender에 의해 처음 발견된 BellaCiao의 코드를 재구현한 형태
- 원본 BellaCiao는 웹셸 기반의 지속성 유지와 은밀한 터널링 기능을 결합한 악성코드
- BellaCPP 특징
- DLL 파일("adhapl.dll")로 작성되며, C:\Windows\System32에 위치
- Windows 서비스로 실행되도록 설계됨
- 주요 동작:
- 문자열 복호화(XOR 암호화 사용) 후 DLL 경로 및 함수("SecurityUpdate", "CheckDNSRecords") 로드
- 특정 형식의 도메인 생성:
<5자리 임의 문자><타겟 식별자>.<국가코드>.systemupdate[.]info - 도메인의 IP를 하드코딩된 주소와 비교 후, 특정 매개변수로 "SecurityUpdate" 함수 호출
- BellaCPP와 BellaCiao의 주요 차이점
- BellaCPP에는 이전 BellaCiao에서 발견된 하드코딩된 웹셸 기능이 없음
- SSH 터널링 기능이 BellaCPP에서도 구현된 것으로 보이나, 주요 DLL(D3D12_1core.dll)의 부재로 세부 분석 제한
- 도메인 생성 패턴과 SSH 터널링 워크플로에서 약간의 차이가 존재
- 시사점
- BellaCPP는 Charming Kitten의 기존 도구를 개선하고 확장하려는 시도의 일환으로 평가됨
- C++로 BellaCiao를 재구현하여 탐지 회피 가능성 증가
- 공개 도구 활용과 신규 샘플 배포를 통해 네트워크 내 지속적 침투 가능성 확보
- 공격자는 제거된 "알려진" 샘플 이후에도 "알려지지 않은" 샘플로 네트워크에 잔존할 가능성이 있음
- BellaCPP는 Charming Kitten의 기존 도구를 개선하고 확장하려는 시도의 일환으로 평가됨
- 보안 권고
- 지속적인 네트워크 및 시스템 조사 필요
- 알려지지 않은 악성코드 샘플을 탐지하기 위한 심층 분석 강화
- 악성코드 활동 지표(IOC) 업데이트
- Charming Kitten 관련 도메인 및 BellaCPP 활동을 기반으로 탐지 규칙 생성
- 침해 대응 절차 고도화
- SSH 터널링과 서비스 기반 악성코드 활동을 탐지하는 기술 도입
- 공격자의 기술 발전에 대응
- 공개 도구와 악성코드 변종에 대한 연구와 업데이트를 지속적으로 수행
- 지속적인 네트워크 및 시스템 조사 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2024년 정보보호 공시 현황 분석 (1) | 2024.12.29 |
|---|---|
| 로봇청소기 보안 강화 경쟁…"사생활 보호를 위한 해킹 방어" (2) | 2024.12.29 |
| 금융보안원의 2024년 금융권 버그바운티 성과 발표 (0) | 2024.12.29 |
| 제로트러스트 보안모델 도입 사례와 전망 (0) | 2024.12.29 |
| 개인정보 유출에 따른 금융사 제재와 카카오페이 사례 분석 (3) | 2024.12.29 |