- 23.05.17 지니언스 시큐리티 센터(이하 GSC)는 북한연계 해킹 그룹 APT37 의 새로운 사이버 위협 활동을 발견
> 대북 분야 주요 인사들은 북한연계 해킹 그룹의 사이버 위협으로 부터의 나름의 전략으로 맥북 사용을 선호
- 공격 대상의 비밀번호 탈취를 위해 피싱 공격과 정보 수집 수행 후 해당 과정에서 확인된 웹 브라우저 및 OS 정보를 활용해 MacOS 기반 악성파일 공격을 수행
> MacOS 공격은 대표적으로 정상 서비스로 위장한 솔루션, 불법 소프트웨어 자료실, MS Word 문서 메크로 등
> 해당 사례의 경우 이메일 본문 내 MacOS 용 ZIP 파일 다운로드 링크를 포함하여 클릭을 유도하는 스피어 피싱
※ MacOS 이용자의 일반적인 경험과 확장자 숨긴 조건, 아이콘만으로 파일 유형을 판단해 접근하는 맹점을 이용
2. 주요내용
2.1 피싱 메일
- 공격자는 고려대 일민국제관계연구원에서 운영하는 온드림 글로벌 아카데미 담당교수를 사칭
- 북한 인권 제도 및 실태 주제의 특강을 요청하는 메일 발송
> 이메일 제목 예시: [특강 의뢰] 6.30(금) 고려대 일민국제관계연구원 - 온드림 글로벌 아카데미 등
> 고려대 일민국제관계연구원은 공식 사이트를 통해 "[알림] 연구원 직원 사칭 사이버공격(스피어피싱) 메일 주의" 게시
- 강의 의뢰에 대한 수락 의사를 회신할 경우 악성 링크가 포함된 안내 메일 발송
> 보안 메일 보기 버튼 클릭 유도 및 구글 Gmail 계정 정보 탈취를 시도
> 비밀번호 탈취에 실패하더라도 User-Agent 값으로 대상자의 OS와 웹 브라우저를 식별 가능
※ 관련 정보는 환경에 따른 우회 및 가용성, 무결성을 손상시키기 위한 맞춤형 공격을 설계하는데 활용
- R2P 국제회의 진행자료 파일로 위장 및 북한 인권 운동 홍보에 활용해 달라는 내용으로 첨부자료 열람을 유도
> 첨부자료명: '제 6 회 R2P 국제회의 진행자료.zip'
[사진 1] 공격 과정 요약
2.2 악성 동작
- '제 6 회 R2P 국제회의 진행자료.zip' 파일은 6개의 파일이 존재
> ‘제 6 회 R2P 국제회의.app’ 맥용 응용프로그램(번들)과 미끼용 JPG 사진 파일 5 개
※ 번들: 실행 코드와 해당 코드에 사용되는 리소스를 포함하는 표준화된 계층 구조를 가진 디렉토리
[사진 2] 제6회 R2P 국제회의.zip 압축 해제
- 일반적인 MacOS 환경에서 '모든 파일 확장자 보기' 기능이 해제 되어있어 아이콘만으로 파일 유형을 판단하도록 유도
> JPG 파일의 경우 확장자가 기본 설정에서 보이지만, APP 확장자는 보이지 않음
- 해당 번들의 패키지 내용을 보면 리소스내 ‘AppIcon.icns’ 애플 아이콘 이미지가 HWP 문서로 지정
> 정상 ‘제 6 회 R2P 국제회의.hwp’ 문서를 내부에 포함해 악성 파일이 실행될 때 함께 보여주는 용도로 사용
[사진 3] 제 6 회 R2P 국제회의.app 내용
2.2.1 Image 파일
- 파일 내부에는 curl 명령이 삽입되어 있어 C2 서버에서 파일을 다운로드하여 실행
> 삼성 관련 도메인으로 위장하고 있으며, 현재는 민관 협력을 통해 국내 접속을 차단한 상태
> ‘pathForResource:ofType:’ 함수를 통해 번들 내부 리소스 영역에 존재하는 ‘제 6 회 R2P 국제회의.hwp’ 정상 문서를 실행하여 의심 최소화
[사진 4] Image 파일 내 curl 스크립트
① curl
- samsunggalaxynote[.]com에서 whatnew 파일을 tmp 경로에 ‘com.apple.auto_update’ 이름으로 다운로드해 저장
옵션
설명
-s
에러가 발생가 있더라도 출력하지 않음
-f
HTTP 오류에 대한 출력이 없는 Fail fast
-L
서버에서 HTTP 301 이나 HTTP 302 응답이 왔을 경우 redirection URL로 이동
-o
다운로드한 데이터의 저장 위치 지정
② xattr
- MacOS에서 파일이나 디렉터리에 속성 내용을 관리하는 명령어
- 다운로드 경로 등의 정보를 제거
옵션
설명
-c
확장속성(Extended Attributes) 전체 삭제
③ chmod
옵션
설명
+x
파일 실행 권한 부여
④ rm
옵션
설명
-r
하위 파일까지 모두 삭제
-f
삭제할 파일이나 디렉터리가 존재하지 않더라도 강제 삭제
2.2.2 com.apple.auto_update 파일
- Image 파일과 동일한 C2 서버로 접근해 ‘singlework’를 다운로드하여 '.loginwindow'로 저장
> ‘/Users/%@/Library/LaunchAgents’ 경로에 '.com.apple.windowserver.plist' 파일을 숨김속성으로 생성
> RunAtLoad(로드시 실행), KeepAlive(실행 상태유지) 오브젝트 키 옵션을 활성화(true)
> ‘launchctl remove com.google.keystone.xpc.server’ 명령을 수행하여, 구글 크롬 관련 파일 삭제를 시도
[사진 5] com.apple.auto_update 내부 문자열 화면
2.2.3 .loginwindow 파일
- 앞서 확인되었던 동일한 C2와 통신을 수행
> Temporary Item 경로에 현재 날짜와 시간, 프로세스 리스트, 이용자 정보, 아이피 주소와 네트워크 구성 등 다양한 시스템 정보(System Info)를 수집 및 텍스트 파일로 저장해 C2 서버로 전송을 시도
> ‘us’ 파일을 임시폴더(tmp) 경로에 ‘mdworker’ 파일로 다운로드 후 실행하여 추가 명령을 진행
[사진 6] .loginwindow 파일 내용
3. 이전 사례와의 유사도
- 과거 확인된 C2 주소와 동일한 C2 주소 사용
- 위장 파일에 삽입된 명령의 유사함
- 정보 탈취 대상 목록 파일의 유사함
4. 악성파일 제작 도구 노출
- C2 서버를 통해 바로가기(LNK) 악성파일 제작 도구가 노출
> MFC(Microsoft Foundation Class Library) 기반으로 제작 > 23.03.24 09:52 제작되어 현재까지 사용 중 > PDB 경로: C:\Users\JJJ\Desktop\tmp\MyEWork_Auto\Debug\MyEWork_Auto.pdb
- 23.04 FBI 덴버 사무소는 공공장소에서 흔히 볼 수 있는 공용 USB 포트를 사용한 스마트폰 충천 금지 발표 [1]
- 공격자들이 공용 USB 포트를 통해 멀웨어와 모니터링 소프트웨어를 사용자 단말에 설치하는 방법을 알아냄
- 공항, 호텔, 쇼핑센터 등에서 USB 포트 대신 개인용 충전기 사용 권고
2. 주요 내용
[사진 1] FBI 덴버 사무소 트위터
- FBI와 연방통신위원회(FCC)는 공용 USB 포트를 사용한 "주스재킹(Juice jacking)"을 경고 [2][3]
> 지난 5년간 주스재킹과 관련된 해킹 공격이 공식적으로 보도되지 않았으며, 기술적인 어려움 또한 존재
> 그러나, 관련 해킹이 불가능한 것은 아니며 아직까지는 기술 및 비용적 효율이 낮기 때문으로 보임
> 2022년 발표에 따르면 USB를 활용하도록 설계된 멀웨어와 관련된 위협이 52%로 증가 [4]
주스재킹(Juice jacking) - 2011년 DEFCON에서 최초로 선보인 공격 기법 - 공항, 호텔, 쇼핑센터 등 공공장소에 있는 공용 USB를 이용한 멀웨어 유포 및 정보 탈취 공격 - 손상된 USB 포트를 통해 설치된 멀웨어는 장치를 잠그거나 사용자의 비밀번호, 신용카드 정보, 주소, 이름 등의 정보를 훔칠 수 있음 - 탈취한 개인 정보를 통해 공격자는 계정에 액세스 하거나 다른 공격자들에게 판매하여 2차 피해가 발생 가능
- 주스재킹을 수행하는데 필요한 기술과 비용, 접근성 등은 과거에 비해 누구나 접근할 수 있도록 발전되고 있음
> 대표적으로 O.MG 케이블이 존재 [5][6]
> 외형은 애플의 케이블과 유사해 육안으로 식별하기 어려우며 다양한 기능을 제공
> 자체적으로 와이파이 핫스팟을 만들고 해커는 1.5km 떨어진 곳에서도 키 입력 정보를 받아 볼 수음
> MG라는 보안 연구원이 침투 테스트용으로 개발해 2019 DEFCON에서 공개하였으며, 보안 업체 Hak5가 양산 및 판매
[사진 2] O.MG 케이블 외관(좌) 및 기능(우)
- 스마트폰 제조업체는 주스재킹의 위협을 줄이기 위한 보호 기능을 개발 중이나 결코 완벽하다고 할 수 없음
> 아이폰 또는 아이패드의 경우 공용 USB 포트에 연결하면 ‘이 컴퓨터를 신뢰하시겠습니까?’ 등의 메시지 표시
> 관련 메시지가 표시되지 않더라도 ‘액세서리가 지원되지 않음’이라는 경고가 표시될 수 있으며, 즉시 연결 해제 필요
> 사용자의 단말이 멀웨어에 감염 되었는지 알 수 없으며, 탐지 또한 어려움
> 따라서, 공용 USB 포트나 케이블은 가급적 사용하지 말고, 보조 배터리 또는 콘센트 이용 권고
3. USB 데이터 차단기
- 주스재킹 등 관련된 위협을 줄이고자 등장한 일종의 젠더 [7]
- 일반적인 USB는 4개의 핀으로 구성
> 충전을 위한 핀 2개와 데이터 전송을 위한 핀 2개로 구성됨
[사진 3] USB 핀 구조
- USB 데이터 차단기는 데이터 전송을 위한 2개의 핀을 제거하여 데이터 전송을 차단하는 원리
- 미국 CISA, FBI, NSA, MS-ISAC 및 이스라엘 INCD(Israel National Cyber Directorate)에서 원격 엑세스 소프트웨어 보안 가이드 발표
- 공격자들은 합법적인 목적의 원격 엑세스 소프트웨어를 악용해 보안 장비의 탐지를 우회하여 침입하므로 관련 보안 강화 권고
2. 주요내용
- 원격 엑세스 소프트웨어는 합법적인 목적으로 서버 등에 설치되어 사용되므로 보안 소프트웨어에서 탐지되지 않음
- 공격자는 관련 도구를 사용해 LOTL(Living off the Land) 공격을 진행
LOTL(Living off the Land) 공격 - 자급자족식 공격 > 보안 솔루션의 성능이 향상됨에 따라 탐지를 우회하거나 보안 솔루션의 탐지 대상이 아닌 소프트웨어를 이용한 공격이 주목을 받으며 등장 -공격 대상 시스템에 미리 설치되어 있는 도구를 활용하여 공격을 수행하며, 합법적인 과정으로 자신의 행위를 숨길 수 있으며 탐지를 더욱 어렵게 만듦 > 윈도우 CMD, PowerShell 등의 합법적 도구 및 사용자가 설치한 취약점이 존재하는 소프트웨어 등을 공격에 이용 - 다음과 같은 이점을 지님 ① 보안 장비의 탐지를 우회할 수 있음: 정삭적인 툴로써 동작 ② 공격 식별 감소: 기존 공격 툴의 경우 공격 시 관련된 시그니처 등 정보가 기록됨 ③ 공격 준비 시간 감소: 이미 설치된 도구를 사용
- 대응방안 ① MFA 적용 ② 주기적 암호 변경 ③ 관련 도구 사용 모니터링 및 로그 검토 ④ 피싱메일, 문서 매크로 등 주의 ⑤ 보안 소프트웨어 최신 업데이트 적용, 보안 기능 활성화 등
- 공격자는 초기 액세스, 지속성 유지, 추가 소프트웨어 및 도구 배포, 측면 이동 및 데이터 유출을 위해 원격 액세스 소프트웨어를 사용
> 랜섬웨어 및 특정 APT 그룹에서 자주 사용됨
> PowerShell 등의 명령줄 도구를 사용해 원격 엑세스 소프트웨어 에이전트를 배포하거나 기존에 설치되어 있는 원격 엑세스 소프트웨어 악용
> 원격 엑세스 멀웨어 등의 상용 침투 테스트 도구와 함께 원격 엑세스 소프트웨어를 사용해 여러 형태의 접근을 통해 지속성 유지
- 공격자가 주로 활용할 수 있는 원격 엑세스 소프트웨어는 다음과 같음
원격 엑세스 소프트웨어 도구
ConnectWise Control (formerly ScreenConnect)
Pulseway
Anydesk
RemotePC
Remote Utilities
Kaseya
NetSupport
GoToMyPC
Splashtop
N-Able
Atera
Bomgar
TeamViewer
Zoho Assist
LogMeIn
3. 권고사항
- 일반적인 표준을 기반으로 위럼 관리 전략 유지
- 현재 사용 중 이거나 사용 가능한 원격 엑세스 소프트웨어의 실행을 제한하는 어플리케이션 제어 구현
- 원격 엑세스 소프트웨어 사용과 관련된 로그 검토
- 네트워크를 분할하여 측면 이동을 최소화
- 원격 엑세스 소프트웨어가 사용하는 포트 및 프로토콜 차단 및 HTTPS 443을 통한 원격 트래픽 차단
- 원격 엑세스 소프트웨어가 업무적으로 필요한 경우 액세스 권한이 있는 모든 계정에 대해 MFA 적용
- 공격자는 MOVEit Transfer 앱에 조작된 페이로드를 전달하여, 최종적으로 MOVEit DB 컨텐츠의 수정 및 공개가 가능
영향받는 저번 - MOVEit Transfer 2023.0.x (15.0.x) - MOVEit Transfer 2022.1.x (14.1.x) - MOVEit Transfer 2022.0.x (14.0.x) - MOVEit Transfer 2021.1.x (13.1.x) - MOVEit Transfer 2021.0.x (13.0.x) - MOVEit Transfer 2020.1.x (12.1) - MOVEit Transfer 2020.0.x (12.0) 혹은 그 이전버전 - MOVEit Cloud
- 구체적인 PoC는 확인되지 않으나 아르헨티나 보안 연구원 MCKSys이 PoC 화면 공개 [2]
영향받는 버전 - MOVEit Transfer 2023.0.x (15.0.x) - MOVEit Transfer 2022.1.x (14.1.x) - MOVEit Transfer 2022.0.x (14.0.x) - MOVEit Transfer 2021.1.x (13.1.x) - MOVEit Transfer 2021.0.x (13.0.x) - MOVEit Transfer 2020.1.x (12.1) - MOVEit Transfer 2020.0.x (12.0) 혹은 그 이전버전 - MOVEit Cloud
- 북한 Lazarus 해킹 그룹이 INISAFE CrossWeb EX, MagicLine4NX 외에도 VestCert, TCO!Stream 제로데이 취약점 악용
> INISAFE CrossWeb EX, MagicLine4NX 취약점 또한 공격에 지속적으로 활용
- VestCert: 예티소프트社에서 제작한 Non-ActiveX 방식의 웹 보안 소프트웨어(공인인증서 프로그램)
- TCO!Stream: (주)엠엘소프트社에서 제작한 자산관리 프로그램
>TCO!Stream은 서버-클라이언트로 구성
> 서버: 소프트웨어 배포 및 원격제어 등의 기능을 제공
> 클라이언트: 서버와 통신을 위해 항상 3511/TCPListening 상태
- Lazarus는 지속해서 국내 사용 소프트웨어의 취약점을 찾아 공격에 악용하므로, 해당 소프트웨어를 사용할 경우 반드시 최신 버전 업데이트 적용
2 주요 내용
2.1 VestCert 취약점
- 공격자는 기업 내부로 최초 침입을 위해워터링 홀 기법을 사용
① 사용자가 취약한 버전의 VestCert가 설치된 환경에서 감염된 웹 사이트에 접속
② VestCert의 써드파티 라이브러리 실행 취약점으로 인해 PowerShell 실행
③ PowerShell을 이용해 C2 서버 접속 및 악성코드 다운, 실행
워터링 홀(Watering Hole) - 물웅덩이 근처에 매복해 먹잇감을 노리는 사자의 모습에서 유래 - 공격자는 대상에 대한 정보를 미리 수집하여, 자주 방문하는 웹 사이트를 알아낸 뒤 해당 사이트의 취약점을 이용해 침해하여 악성코드 업로드 - 피해자가 해당 웹 사이트에 접속할 경우 악성코드를 유포 - 특정대상을 대상으로 하거나, 해당 웹 사이트에 접속하는 모든 사용자들을 대상으로 할 수도 있음
써드파티 라이브러리 실행 취약점 - 써드파티(Third-party)란 제품이나 서비스의 개발과 관련하여 직접적으로 관련이 없는 외부 업체나 개인을 뜻 함 - 즉, 소프트웨어 개발에서 써드파티는 애플리케이션 개발자가 직접 개발하지 않은 외부 제공 요소 - 써드파티(Third-party) 라이브러리 실행 취약점은 애플리케이션에서 사용되는 외부 제공 라이브러리에 존재하는 보안 취약점을 의미
[사진 1] VestCert 취약점으로인해 실행된 악성코드를 다운로드하는 PowerShell 명령어
2.2 TCO!Stream
- 공격자는 최초 침입 후 내부 전파를 위해 TCO!Stream의 취약점을 이용
> 공격자는 자체 제작한 악성코드를 이용해 서버에서 특정 파일을 다운로드하고 실행하는 명령어를 생성하여 클라이언트에 전달
