RedCurl APT Deploys Malware via Windows Scheduled Tasks Exploitation
RedCurl APT Deploys Malware via Windows Scheduled Tasks Exploitation
Researchers identified RedCurl APT group activity in Canada in late 2024, where the attackers used scheduled tasks to execute pcalua.exe.
gbhackers.com
- RedCurl APT의 주요 활동
- RedCurl APT 그룹이 2024년 후반 캐나다에서 활동한 사례가 확인됨
- Windows 예약 작업(Scheduled Tasks)을 악용하여 pcalua.exe를 실행, 악성 바이너리 및 Python 스크립트(예: RPivot client.py) 실행
- 장기적인 데이터 탈취와 지속성 유지를 목표로 다양한 산업을 표적으로 삼음
- 공격 방법 및 기술
- PowerShell을 통해 클라우드 저장소에서 파일 다운로드
- URL:
bora.teracloud[.]jp/dav - HTTP GET 요청을 사용하여 파일을 가져온 후 7zip을 이용해 암호로 압축 해제
- URL:
- Python 스크립트를 사용하여 원격 서버(IP 및 포트)에 연결
- 시스템 정보(디렉터리 목록, 실행 중인 프로세스 등) 수집
- 데이터를 암호화한 후 HTTP PUT 요청으로 C2 서버에 전송
- 악성코드 구성 요소 RedLoader
- XOR 기반 암호화 루틴을 활용하여 초기 DLL 이름 복호화
- bcrypt.dll에서 함수 동적 로드 및 AES 키 생성
- 암호화 계층 추가를 통해 분석 및 탐지 회피
- PowerShell을 통해 클라우드 저장소에서 파일 다운로드
- Living-Off-The-Land(LOTL) 기술 활용
- Windows의 pcalua.exe 같은 합법적인 네이티브 바이너리를 사용하여 악성 행위를 숨김
- PowerShell, Python 스크립트, 7zip 등 일반적으로 사용되는 도구와 스크립트를 악용하여 탐지를 회피
- 데이터 탈취 및 암호화 과정
- 암호화된 DLL 이름 및 함수명을 복호화하여 악성코드 실행
- 수집된 데이터를 7zip으로 암호화한 후 클라우드 저장소로 전송
- 비밀번호는 배치 파일 내에 저장
- 보안 권고
- 네트워크 트래픽 모니터링
- Python 스크립트나 7zip 프로세스에서 비정상적인 네트워크 연결 또는 암호화 파일 생성 및 삭제 활동 감시
- 프로세스 및 파일 로그 분석
- 예약 작업에서
pcalua.exe와 같은 실행 파일 사용 여부 확인
- 예약 작업에서
- 위협 헌팅
- 네트워크에서 드문 동작 및 비정상적 행위를 선제적으로 탐지
- LOTL 기술과 연관된 도구 및 프로세스 감지
- 다계층 방어 전략
- 방화벽 규칙, 네트워크 모니터링, 엔드포인트 탐지 및 대응(EDR) 솔루션 활용
- 악성코드 의심 활동 발생 시 즉각적인 분석 및 대응
- 네트워크 트래픽 모니터링
- 결론
- RedCurl APT의 활동은 LOTL 기술과 클라우드 저장소를 활용한 정교한 사이버 스파이 공격의 대표적인 사례
- 지속적인 네트워크 및 프로세스 감시와 함께 다계층 방어를 통해 탐지와 방어 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| CISA, OT 제품 보안을 강화하기 위한 무료 가이드 배포 (0) | 2025.01.21 |
|---|---|
| 도메인 스푸핑과 머들링미어캣: 목적 없는 추적에서 얻은 교훈 (0) | 2025.01.21 |
| 구직자를 노리는 크라우드스트라이크 사칭 피싱 캠페인 (0) | 2025.01.21 |
| 맥OS 생태계를 위협하는 밴시스틸러의 등장과 대응 방안 (0) | 2025.01.21 |
| 2025년 AI와 사이버보안 주요 과제 7가지 (0) | 2025.01.21 |