SHEETCREEP: 치명적인 보안 결함이 있는 파키스탄의 맞춤형 악성코드

운영 보안 실패의 놀라운 사례로, 연구원들은 인도의 유명 군인 및 정치 인사를 표적으로 삼기 위해 파키스탄 정부가 개발한 것으로 알려진 정교한 맞춤형 악성 코드를 발견했습니다. SHEETCREEP이라는 악성 코드는 사이버 스파이 활동에 대한 혁신적인 접근 방식을 나타내지만 결국 중요한 보안 감독을 통해 자체적으로 약화되었습니다.

SHEETCREEP의 발견

사이버 보안 커뮤니티는 최근 인도에 대한 국가 후원 사이버 작전의 일부인 것으로 보이는 맞춤형 악성코드인 SHEETCREEP에 주목했습니다. 이 멀웨어는 UAE-인도 전략적 파트너십 주간에 발견되었으며, 이는 양국 간 외교 행사의 잠재적 시기나 관련성을 암시합니다.

최고의 사이버 보안 회사인 Securonix의 연구원들은 인도 대상에게 전송된 의심스러운 파일을 분석한 후 악성 코드를 식별했습니다. 조사 결과 상당한 기술적 역량을 갖춘 정교한 작전이 결국 운영 보안의 근본적인 실수로 인해 훼손된 것으로 드러났습니다.

SHEETCREEP의 기술 아키텍처

SHEETCREEP은 악성 .lnk(바로가기) 파일로 시작하는 다단계 감염 프로세스를 사용합니다. 이 바로가기를 실행하면 피해자 시스템에 지속성을 설정하는 악성 C# 코드가 실행됩니다. 그런 다음 악성 코드는 명령 및 제어(C2) 서버 역할을 하는 Google 스프레드시트 문서로 민감한 데이터를 유출합니다.

Google 스프레드시트를 C2 서버로 사용하는 것은 합법적인 클라우드 서비스를 악의적인 목적으로 활용하는 혁신적인 접근 방식을 나타냅니다. 이 기술을 통해 운영자는 전용 서버나 인프라에 플래그를 지정할 수 있는 기존 보안 조치를 잠재적으로 회피하면서 감염된 시스템과의 통신을 유지할 수 있습니다.

기능	설명
배송방법	타겟으로 전송된 악성 .lnk 파일
실행	단축키를 통해 실행된 악성 C# 코드
지속성	액세스를 유지하기 위한 다양한 메커니즘
데이터 유출	Google 스프레드시트 문서로 전송됨
C2 커뮤니케이션	명령 및 제어 서버로 사용되는 Google 스프레드시트

중요한 보안 결함

SHEETCREEP에는 기술적 정교함에도 불구하고 궁극적으로 발견 및 노출로 이어진 중요한 보안 감독이 포함되어 있습니다. 파키스탄 정부는 Google Sheets C2 서버 URL과 액세스 키를 악성코드 페이로드에 직접 하드코딩한 것으로 알려졌습니다.

이러한 운영 보안 실수는 국가가 후원하는 사이버 작전의 맥락에서 특히 심각합니다. 적절한 운영 보안 관행을 위해서는 맬웨어 자체를 수정하지 않고도 변경할 수 있는 동적 또는 암호화된 구성을 사용해야 합니다. 하드코딩된 자격 증명은 기본적으로 연구원에게 전체 작업에 대한 로드맵을 제공합니다.

자격증명 하드코딩이 심각한 오류인 이유

• 연구자들이 C2 인프라를 식별할 수 있도록 합니다
• 사용 중인 특정 Google 스프레드시트 문서를 표시합니다.
• 감염된 시스템을 제어하는 데 필요한 액세스 키를 제공합니다
• 대상 및 작업의 전체 목록을 노출합니다
• 악성코드를 재배포하지 않고는 인프라를 변경할 수 없습니다.

발견 및 분석

SHEETCREEP 샘플을 얻은 보안 연구원들은 하드코딩된 자격 증명의 중요성을 즉시 인식했습니다. 삽입된 세부 정보를 조사한 결과 악성 코드의 C2 서버 역할을 하는 Google 스프레드시트 문서에 액세스할 수 있었습니다.

문서에는 다음을 포함하여 작전에 대한 귀중한 정보가 포함되어 있습니다.

• 대상 개인 및 조직의 전체 목록
• 감염 캠페인 세부사항
• 감염된 시스템과 운영자 간의 통신 패턴
• 손상된 시스템에서 유출된 데이터

연구원들은 파키스탄 정부가 중요하다고 간주하는 개인 91명(주로 인도의 군인 및 정치 인사)을 감시하고 있음을 발견했습니다. 이 목록은 특정 고가치 개인을 표적으로 삼아 조직화된 사이버 스파이 활동에 대한 구체적인 증거를 제공합니다.

검색 구성요소	의미
하드코딩된 Google 스프레드시트 URL	C2 서버 인프라 파악
내장형 액세스 키	C2 서버에 접근하기 위한 자격 증명 제공
대상 목록	감시 대상자 91명 확인
작업 세부정보	캠페인의 범위와 목표 표시

의미와 교훈

SHEETCREEP 사건은 사이버 작전에서 운영 보안의 중요성에 대한 경고 역할을 합니다. 기술적으로 정교한 악성 코드를 개발했음에도 불구하고 운영자는 자신의 운영을 보호할 수 있는 기본적인 보안 관행을 구현하지 못했습니다.

이 사건은 또한 정부 후원을 받는 행위자가 합법적인 클라우드 서비스를 악의적인 목적으로 활용하는 경향이 증가하고 있음을 강조합니다. 운영자는 Google 스프레드시트를 C2 서버로 사용하여 자신의 활동을 일반적인 클라우드 사용과 혼합하려고 시도하여 잠재적으로 탐지를 더 어렵게 만들었습니다.

사이버 보안 전문가에게 SHEETCREEP 사례는 국가 후원 행위자가 사용하는 전술, 기술 및 절차(TTP)에 대한 귀중한 통찰력을 제공합니다. 이러한 방법을 이해하면 조직이 유사한 위협에 대해 더 나은 방어책을 개발하는 데 도움이 됩니다.

결론

SHEETCREEP은 국가 지원 사이버 작전 영역에서 기술 혁신과 운영 실패를 모두 나타냅니다. 악성코드가 Google Sheets를 C2 서버로 사용하는 것은 창의적인 문제 해결을 보여주지만, 하드코딩된 자격 증명은 운영 보안에 대한 근본적인 오해를 드러냅니다.

연구원들이 악성 코드 및 관련 인프라를 계속 분석함에 따라 전체 작업 범위가 더 명확해질 수 있습니다. 한편, SHEETCREEP 사건은 가장 정교한 사이버 작전조차 기본적인 보안 감독으로 취소될 수 있다는 점을 상기시켜 줍니다.

국가 후원 공격자의 표적이 될 가능성이 있는 조직과 개인에게 이번 사건은 정교한 공격을 탐지하고 예방하기 위한 이메일 보안, 엔드포인트 보호, 사용자 인식 교육 등 강력한 사이버 보안 조치의 중요성을 강조합니다.

> be pakistan Government > 맞춤형 악성 코드 개발 > 유명 타겟을 타겟팅하는 데 사용됨 > 인도의 군사 및 정치 사람들을 상대로 사용됨 > 이름이 SHEETCREEP > 인도 ppl 파일 보내기 > UAE-인도 전략적 파트너십 주간 > 악성 .lnk 파일 > .lnk는 악성 c 샤프 코드를 실행합니다. > 끈기를 위해 많은 일을 합니다. > 데이터를 Google Sheets로 유출합니다. > Google Sheets를 사용하여 피해자 PC를 제어할 수 있습니다. > 파키스탄 정부 하드코드 Google C2 시트 > 파키스탄 정부는 Google C2 시트를 하드코드합니다. > 페이로드에 액세스 키 내장 > 페이로드에 액세스 키 내장 > 멀웨어 전문가가 발견함 > 내부를 살펴보세요 > 파키스탄 정부의 모든 목표를 찾으십시오 > 중요하다고 생각하는 91명을 모니터링합니다. 그들은 매우 강하게 시작했습니다. 왜 모든 것을 하드코딩했나요? 당신은 당신의 작업을 불 태워 버렸습니다 https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/ > 파키스탄 정부가 되세요 > 맞춤형 악성 코드 개발 > 유명 타겟을 타겟팅하는 데 사용됨 > 인도의 군사 및 정치 사람들을 상대로 사용됨 > 이름이 SHEETCREEP > 인도 ppl 파일 보내기 > UAE-인도 전략적 파트너십 주간 > 악성 .lnk 파일 > .lnk는 악성 c 샤프 코드를 실행합니다. > 끈기를 위해 많은 일을 합니다. > 데이터를 Google Sheets로 유출합니다. > Google Sheets를 사용하여 피해자 PC를 제어할 수 있습니다. > 파키스탄 정부 하드코드 Google C2 시트 > 파키스탄 정부는 Google C2 시트를 하드코드합니다. > 페이로드에 액세스 키 내장 > 페이로드에 액세스 키 내장 > 멀웨어 전문가가 발견함 > 내부를 살펴보세요 > 파키스탄 정부의 모든 목표를 찾으십시오 > 중요하다고 생각하는 91명을 모니터링합니다. 그들은 매우 강하게 시작했습니다. 왜 모든 것을 하드코딩했나요? 당신은 당신의 작업을 불 태워 버렸습니다 https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/