TechOffice파키스탄 정부, 새로운 디지털 혁신 이니셔티브 발표
SHEETCREEP: 심각한 보안 결함으로 인해 파키스탄 정부의 맞춤형 악성코드 작전이 무너진 방법
소개
끊임없이 진화하는 사이버전 환경에서 국가가 후원하는 작전은 정교함과 은밀함의 정점을 나타내는 경우가 많습니다. 그러나 최근 발견된 SHEETCREEP이라는 악성 코드 캠페인은 파키스탄 정부가 인도의 유명 군인 및 정치 인사를 표적으로 삼기 위해 개발한 것으로 알려진 이러한 기대와는 극명한 대조를 보였습니다. 이 작전을 특히 주목할 만한 이유는 그 야망뿐만 아니라 이 작전이 완전히 노출되게 만든 심각한 운영 보안 실패 때문입니다.
Securonix의 보안 연구원이 발견한 SHEETCREEP 작전은 사이버 전쟁 전술에 대한 흥미로운 사례 연구를 나타내며, 명령 및 제어(C2)를 위한 공통 플랫폼의 혁신적인 사용과 기본 작전 보안 실수의 치명적인 결과를 모두 강조합니다.
SHEETCREEP 작업 개요
SHEETCREEP은 인도 대상의 데이터를 모니터링하고 유출하기 위해 파키스탄 정부 기관이 조직한 것으로 알려진 맞춤형 악성 코드 캠페인입니다. 이번 작전은 UAE-인도 전략적 파트너십 주간에 맞춰 진행된 것으로 보이며, 이는 이 중요한 외교 행사 기간 동안 정보 수집을 시도할 가능성이 있음을 시사합니다.
캠페인은 인도의 군인과 정치인을 포함하여 파키스탄 정부가 중요하다고 간주하는 개인 91명을 표적으로 삼았습니다. 이번 작전은 인도 정부와 군사 기관 내 정보 수집에 대한 명확한 전략적 초점을 보여줍니다.
표: SHEETCREEP 작업 개요
| 속성 | 세부정보 |
|---|---|
| 멀웨어 이름 | 시트크리프 |
| 개발자로 추정됨 | 파키스탄 정부 |
| 주 타겟 | 인도 군인 및 정치 인사 |
| 대상 수 | 91명 |
| 타이밍 | UAE-인도 전략적 파트너십 주간 |
SHEETCREEP 악성코드의 기술적 분석
SHEETCREEP의 기술적 실행은 여러 구성 요소가 동시에 작동하는 다단계 감염 프로세스를 보여줍니다. 초기 전달 메커니즘에는 스피어 피싱 캠페인의 일반적인 벡터인 악성 .lnk(바로가기) 파일이 포함됩니다. 이 바로가기 파일이 실행되면 Windows의 기본 제공 기능을 활용하여 .NET 어셈블리를 실행하는 악성 C# 코드가 실행됩니다.
악성코드가 실행되면 여러 가지 방법을 통해 피해자의 시스템에 지속성을 확립합니다. 이렇게 하면 시스템 재부팅 후에도 맬웨어가 활성 상태로 유지되고 손상된 시스템에 장기간 존재하게 됩니다. 지속성 메커니즘에는 레지스트리 수정 및 예약된 작업 생성, 맬웨어 개발 플레이북의 표준 기술이 포함됩니다.
SHEETCREEP의 가장 혁신적인 측면은 Google 스프레드시트를 명령 및 제어(C2) 서버로 사용한다는 것입니다. 이 접근 방식을 통해 운영자는 손상된 시스템과의 통신을 위해 합법적이고 널리 사용되는 플랫폼을 활용할 수 있으며 트래픽이 무해해 보이기 때문에 잠재적으로 탐지가 더 어려워질 수 있습니다.
표: SHEETCREEP 기술 구성요소
| 구성요소 | 기능 | 기술적 세부정보 |
|---|---|---|
| 초기 배송 | 악성 .lnk 파일 | C# 코드를 실행하는 바로가기 파일 |
| 지속성 | 시스템 수준 지속성 | 레지스트리 수정, 예약된 작업 |
| C2 커뮤니케이션 | 데이터 유출 및 명령 수신 | C2 서버로서의 Google 스프레드시트 |
| 데이터 유출 | 도난된 데이터 전송 | Google 스프레드시트로 유출 |
타겟팅 전략
SHEETCREEP 작전은 인도 정부와 군대 내의 민감한 정보에 접근할 수 있는 개인을 집중적으로 대상으로 삼는 집중적인 표적 접근 방식을 보여줍니다. 91개의 대상을 선택하면 각 개인으로부터 수집할 수 있는 지능의 인지된 가치를 기반으로 우선 순위가 지정된 목록이 제시됩니다.
UAE-인도 전략적 파트너십 주간 동안의 작전 시기는 인도와 아랍에미리트 간의 외교 활동이 격화되는 기간 동안 정보 수집을 시도할 가능성이 있음을 나타냅니다. 이러한 시기는 외교적 입장과 잠재적으로 민감한 논의에 대한 귀중한 통찰력을 제공할 수 있습니다.
악성 .lnk 파일에 스피어 피싱 접근 방식을 사용한다는 것은 공격자가 대상에 대해 어느 정도 지식을 갖고 있어 수신자가 열 가능성이 있는 설득력 있는 미끼를 제작할 수 있음을 시사합니다. 이 수준의 타겟팅 정교함은 잘 계획된 정보 수집 작업을 나타냅니다.
치명적인 운영 보안 실패
Google Sheets를 C2 플랫폼으로 혁신적으로 사용했음에도 불구하고 SHEETCREEP 작업은 중대한 운영 보안 실수로 인해 약화되었습니다. 즉, 파키스탄 정부가 Google C2 시트를 하드코딩하고 액세스 키를 악성 코드 페이로드에 직접 삽입했습니다.
이 오류는 사이버 전쟁의 운영 보안 원칙을 근본적으로 위반함을 나타냅니다. 운영자는 이러한 자격 증명을 하드코딩함으로써 악성 코드가 발견 및 분석되는 경우 보안 연구원이 모든 대상 목록과 여기에서 유출된 데이터를 포함하여 전체 명령 인프라에 즉시 액세스할 수 있도록 보장했습니다.
보안 연구원들이 멀웨어를 발견하고 해당 코드를 조사한 결과 Google Sheets C2 서버에 하드코딩된 액세스 키를 발견했습니다. 이를 통해 그들은 대상의 전체 데이터베이스, 작업 범위 및 잠재적으로 손상된 시스템에서 유출된 데이터에 액세스할 수 있었습니다.
표: SHEETCREEP의 운영 보안 실패
| 보안 실패 | 영향 | 모범 사례 대안 |
|---|---|---|
| 하드코딩된 C2 시트 URL | C2 인프라 완전 노출 | 동적 C2 해상도 또는 암호화된 구성 |
| 내장형 액세스 키 | 모든 피해자 데이터에 대한 무단 접근 | 외부 요인 또는 암호화된 저장소에서 키 파생 |
| C2 자격 증명 암호화 부족 | 모든 대상 및 작업 세부정보를 쉽게 검색 | 모든 민감한 구성 데이터의 강력한 암호화 |
의미와 여파
SHEETCREEP 작전의 노출은 사이버 보안과 지정학적 관계 모두에 중요한 영향을 미칩니다. 파키스탄 정부의 입장에서 작전의 완전한 타협은 중대한 정보 실패를 의미하며 잠재적으로 감시 능력을 손상시키고 그들의 방법을 노출시킵니다.
대상 91명의 개인이 외국 정부에 의해 감시되고 있다는 사실이 밝혀지면서 데이터 보안 및 개인 정보 보호에 대한 심각한 우려가 제기되었습니다. 이러한 대상 중 실제로 얼마나 많은 피해가 발생했는지는 확실하지 않지만, 대상이 되었다는 사실을 알면 보안 조치가 강화되고 커뮤니케이션 방식이 변경될 수 있습니다.
이 작전은 또한 C2 목적으로 Google Sheets와 같은 공통 플랫폼을 사용하는 정부 후원 행위자가 증가하는 추세를 강조합니다. 이 접근 방식을 통해 공격자는 합법적인 트래픽에 섞여들어 알 수 없는 서버에 대한 통신을 표시할 수 있는 보안 조치를 잠재적으로 우회할 수 있습니다.
전문가 해설
사이버 보안 전문가들은 SHEETCREEP의 기술적 구현이 어느 정도 창의성을 보여주긴 하지만 운영 보안 실패는 지능형 지속 위협(APT) 세계에서 초보자의 실수를 의미한다고 지적했습니다.
맬웨어를 분석한 한 보안 연구원은 "Google 스프레드시트를 C2 서버로 사용하는 것은 기존의 맬웨어 플레이북에서 벗어나 생각하는 것을 보여주는 흥미로운 전술입니다."라고 말했습니다. "그러나 하드코딩된 자격 증명은 악성 코드가 입증했을 수 있는 기술적 정교함을 완전히 훼손하는 운영 보안의 치명적인 실패를 나타냅니다."
다른 전문가들은 이 오류가 성급한 개발을 의미하거나 악성 코드를 담당하는 개발 팀 내에 적절한 보안 프로토콜이 부족함을 나타낼 수 있다고 제안했습니다.
보호조치
유사한 작업의 표적이 될 가능성이 있는 조직 및 개인에 대해 보안 전문가는 몇 가지 보호 조치를 권장합니다.
- 이메일 보안: 고급 이메일 필터링을 구현하여 악성 .lnk 파일 및 기타 의심스러운 첨부 파일을 탐지하고 차단합니다.
- 사용자 교육: 특히 시사나 외교 활동과 관련된 의심스러운 이메일 및 첨부 파일을 인식하고 방지하도록 사용자를 교육합니다.
- 엔드포인트 보호: 의심스러운 행동 패턴을 식별하고 차단할 수 있는 고급 엔드포인트 탐지 및 응답(EDR) 솔루션을 배포합니다.
- 네트워크 모니터링: 데이터 유출을 나타낼 수 있는 Google 스프레드시트와 같은 합법적인 플랫폼과의 비정상적인 통신을 모니터링합니다.
- 최소 권한의 원칙: 성공적인 손상으로 인한 잠재적 피해를 최소화하기 위해 사용자 권한을 제한합니다.
결론
SHEETCREEP 작전은 사이버전 세계에서 경고 역할을 하며, 자금이 충분히 지원되는 국가 지원 작전이라도 기본적인 작전 보안 실수로 인해 완전히 훼손될 수 있음을 보여줍니다. C2 플랫폼으로 Google Sheets를 혁신적으로 사용했지만 하드코딩된 자격 증명의 심각한 오류로 인해 작업이 완전히 노출되었습니다.
국가가 후원하는 사이버 작전이 계속 발전함에 따라 점점 더 정교해지는 기술과 간헐적인 보안 허탈로 인한 노출이 발생할 것으로 예상할 수 있습니다. SHEETCREEP 사례는 사이버 전쟁 영역에서 기술적 정교함만으로는 충분하지 않으며 운영 보안이 여전히 가장 중요하다는 점을 상기시켜 줍니다.
사이버 보안 커뮤니티의 경우 SHEETCREEP 분석은 국가 후원 공격자가 사용하는 전술, 기법, 절차(TTP)에 대한 귀중한 통찰력을 제공하여 향후 유사한 작전에 대해 더 나은 방어 조치를 개발하는 데 도움이 됩니다.
> be pakistan Government > 맞춤형 악성 코드 개발 > 유명 타겟을 타겟팅하는 데 사용됨 > 인도의 군사 및 정치 사람들을 상대로 사용됨 > 이름이 SHEETCREEP > 인도 ppl 파일 보내기 > UAE-인도 전략적 파트너십 주간 > 악성 .lnk 파일 > .lnk는 악성 c 샤프 코드를 실행합니다. > 끈기를 위해 많은 일을 합니다. > 데이터를 Google Sheets로 유출합니다. > Google Sheets를 사용하여 피해자 PC를 제어할 수 있습니다. > 파키스탄 정부 하드코드 Google C2 시트 > 파키스탄 정부는 Google C2 시트를 하드코드합니다. > 페이로드에 액세스 키 내장 > 페이로드에 액세스 키 내장 > 멀웨어 전문가가 발견함 > 내부를 살펴보세요 > 파키스탄 정부의 모든 목표를 찾으십시오 > 중요하다고 생각하는 91명을 모니터링합니다. 그들은 매우 강하게 시작했습니다. 왜 모든 것을 하드코딩했나요? 당신은 당신의 작업을 불 태워 버렸습니다 https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/ > 파키스탄 정부가 되세요 > 맞춤형 악성 코드 개발 > 유명 타겟을 타겟팅하는 데 사용됨 > 인도의 군사 및 정치 사람들을 상대로 사용됨 > 이름이 SHEETCREEP > 인도 ppl 파일 보내기 > UAE-인도 전략적 파트너십 주간 > 악성 .lnk 파일 > .lnk는 악성 c 샤프 코드를 실행합니다. > 끈기를 위해 많은 일을 합니다. > 데이터를 Google Sheets로 유출합니다. > Google Sheets를 사용하여 피해자 PC를 제어할 수 있습니다. > 파키스탄 정부 하드코드 Google C2 시트 > 파키스탄 정부는 Google C2 시트를 하드코드합니다. > 페이로드에 액세스 키 내장 > 페이로드에 액세스 키 내장 > 멀웨어 전문가가 발견함 > 내부를 살펴보세요 > 파키스탄 정부의 모든 목표를 찾으십시오 > 중요하다고 생각하는 91명을 모니터링합니다. 그들은 매우 강하게 시작했습니다. 왜 모든 것을 하드코딩했나요? 당신은 당신의 작업을 불 태워 버렸습니다 https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/
