USB 활용한 사이버 공격, 아직 알 수 없는 이유로 급증하고 있어

요약	최근 USB를 통한 사이버 공격(소구, 스노위드라이브 등)이 빠르게 증가하는 중
내용	- 악성 USB를 이용한 새로운 공격 캠페인 두 가지 발견 > 중국의 해킹 그룹 템프헥스(TEMP.Hex)와 UNC4698 해킹단체 ① 중국 해킹 그룹 템프헥스(TEMP.Hex) > 중국 정부에 유리하게 활용될 수 있는 정보들이 수집 대상이며 엔지니어링, 건설, 정부 기관, 운송, 의료 등에서 피해가 발생 > 멀웨어 소구(Sogu)를 활용해 피해자 시스템에서 민감한 정보를 모으는 것을 목적으로 함 > 소구는 피해자 시스템에 꽂혀 있는 USB 드라이브를 찾아내 스스로를 복제 ※ 운이 좋으면 망에서 분리되어 있는 시스템도 감염시킬 수 있음 ② UNC4698 해킹단체 > 아시아의 석유와 가스 관련 기업을 대상으로 함 > 피해자의 시스템에 백도어를 생성하는 멀웨어 스노위드라이브(SnowyDrive)를 이용 > 백도어를 통해 피해자의 시스템에 자유롭게 드나들 수 있음 - 맨디언트에 의하면 2023년 전반기 동안 USB 드라이브를 이용한 악성 캠페인은 3배 가까이 증가 > 해당 공격이 증가한 명확한 이유는 알려지지 않음 > USB를 이용한 사이버 공격은 해커들 사이에서 크게 선호되지 않는 편 > 22년 민간 해킹 단체 핀7(FIN7)이 USB로 랜섬웨어를 퍼트리다가 FBI에 적발 > 22.12 중국의 해킹 단체 UNC4191가 USB 드라이브를 통해 네 가지 종류의 멀웨어를 유포 > 23.06 카마로드래곤(Camaro Dragon) 혹은 무스탕판다(Mustang Panda)라고 불리는 중국의 해킹 조직이 USB 드라이브를 활용해 한 병원 네트워크에 침투 - USB 관리에 다시 신경을 써야 할 시기임을 강조 > 허용한 USB만 사용하도록 하거나, 이게 불가능하면 USB를 스캔한 후에 사용해야 한다는 정책을 도입
기타	- 사용자가 감염된 USB 드라이브를 집어들고 회사 내 컴퓨터에 꽂는다”는 단계가 반드시 있어야만 성공할 수 있음 > 따라서, 피해자가 조금만 경계심을 높여도 공격 성공률은 낮아짐 - 소구(Sogu) > USB 드라이브를 통해 세 개의 파일을 피해자의 시스템에 심는다 > 파일: 정상 실행파일, 악성 DLL 로더, 암호화된 페이로드 > 정상 실행파일은 시만텍이나 어베스트의 보안 소프트웨어를 가장 > 해당 파일을 실행시키면 악성 DLL 파일인 Korplug가 로딩 > Korplug는 암호화된 페이로드를 복호화 하며, 그 결과 메모리 내에 소구 백도어가 로딩 > 시스템의 메타데이터를 수집하고, C 드라이브를 검색해 .docx, .doc, .ppt, .pdf 등의 파일들을 찾은 후 외부로 전송 - 스노위드라이브(SnowyDrive) > USB에 정상 실행파일로 가장한 실행파일이 저장 > 해당 파일 실행 시 암호화된 파일 여러 개를 피해자의 시스템에 드롭 > 드롭되는 파일은 또 다른 실행파일이거나 악성 DLL 파일이며, 그 중 하나가 스노위드라이브 > 셸코드를 기반으로 한 백도어로, 많은 명령어들로 구성 > 명령어를 통해 파일 생성, 수정, 삭제 및 업로드가 가능하며, 리버스 셸 생성, 피해 시스템 드라이브 목록화, 파일/디렉터리 검색, C2 서버 통신이 가능

 

보안뉴스

USB 활용한 사이버 공격, 아직 알 수 없는 이유로 급증하고 있어

The Spies Who Loved You: Infected USB Drives to Steal Secrets | Mandiant