| 요약 | 최근 USB를 통한 사이버 공격(소구, 스노위드라이브 등)이 빠르게 증가하는 중 |
| 내용 | - 악성 USB를 이용한 새로운 공격 캠페인 두 가지 발견 > 중국의 해킹 그룹 템프헥스(TEMP.Hex)와 UNC4698 해킹단체 ① 중국 해킹 그룹 템프헥스(TEMP.Hex) > 중국 정부에 유리하게 활용될 수 있는 정보들이 수집 대상이며 엔지니어링, 건설, 정부 기관, 운송, 의료 등에서 피해가 발생 > 멀웨어 소구(Sogu)를 활용해 피해자 시스템에서 민감한 정보를 모으는 것을 목적으로 함 > 소구는 피해자 시스템에 꽂혀 있는 USB 드라이브를 찾아내 스스로를 복제 ※ 운이 좋으면 망에서 분리되어 있는 시스템도 감염시킬 수 있음 ② UNC4698 해킹단체 > 아시아의 석유와 가스 관련 기업을 대상으로 함 > 피해자의 시스템에 백도어를 생성하는 멀웨어 스노위드라이브(SnowyDrive)를 이용 > 백도어를 통해 피해자의 시스템에 자유롭게 드나들 수 있음 - 맨디언트에 의하면 2023년 전반기 동안 USB 드라이브를 이용한 악성 캠페인은 3배 가까이 증가 > 해당 공격이 증가한 명확한 이유는 알려지지 않음 > USB를 이용한 사이버 공격은 해커들 사이에서 크게 선호되지 않는 편 > 22년 민간 해킹 단체 핀7(FIN7)이 USB로 랜섬웨어를 퍼트리다가 FBI에 적발 > 22.12 중국의 해킹 단체 UNC4191가 USB 드라이브를 통해 네 가지 종류의 멀웨어를 유포 > 23.06 카마로드래곤(Camaro Dragon) 혹은 무스탕판다(Mustang Panda)라고 불리는 중국의 해킹 조직이 USB 드라이브를 활용해 한 병원 네트워크에 침투 - USB 관리에 다시 신경을 써야 할 시기임을 강조 > 허용한 USB만 사용하도록 하거나, 이게 불가능하면 USB를 스캔한 후에 사용해야 한다는 정책을 도입 |
| 기타 | - 사용자가 감염된 USB 드라이브를 집어들고 회사 내 컴퓨터에 꽂는다”는 단계가 반드시 있어야만 성공할 수 있음 > 따라서, 피해자가 조금만 경계심을 높여도 공격 성공률은 낮아짐 - 소구(Sogu) > USB 드라이브를 통해 세 개의 파일을 피해자의 시스템에 심는다 > 파일: 정상 실행파일, 악성 DLL 로더, 암호화된 페이로드 > 정상 실행파일은 시만텍이나 어베스트의 보안 소프트웨어를 가장 > 해당 파일을 실행시키면 악성 DLL 파일인 Korplug가 로딩 > Korplug는 암호화된 페이로드를 복호화 하며, 그 결과 메모리 내에 소구 백도어가 로딩 > 시스템의 메타데이터를 수집하고, C 드라이브를 검색해 .docx, .doc, .ppt, .pdf 등의 파일들을 찾은 후 외부로 전송 - 스노위드라이브(SnowyDrive) > USB에 정상 실행파일로 가장한 실행파일이 저장 > 해당 파일 실행 시 암호화된 파일 여러 개를 피해자의 시스템에 드롭 > 드롭되는 파일은 또 다른 실행파일이거나 악성 DLL 파일이며, 그 중 하나가 스노위드라이브 > 셸코드를 기반으로 한 백도어로, 많은 명령어들로 구성 > 명령어를 통해 파일 생성, 수정, 삭제 및 업로드가 가능하며, 리버스 셸 생성, 피해 시스템 드라이브 목록화, 파일/디렉터리 검색, C2 서버 통신이 가능 |
보안뉴스
USB 활용한 사이버 공격, 아직 알 수 없는 이유로 급증하고 있어
악성 USB를 이용한 새로운 공격 캠페인이 두 가지나 발견됐다. 하나는 템프헥스(TEMP.Hex)라고 하는 중국의 해킹 그룹이 실시하는 것으로, 피해자 시스템에서 민감한 정보를 모으는 것을 목적으로
www.boannews.com
The Spies Who Loved You: Infected USB Drives to Steal Secrets | Mandiant
In the first half of 2023, Mandiant Managed Defense has observed a threefold increase in the number of attacks using infected USB drives to steal secrets. Mandiant tracked all of the cases and found that the majority of the incidents could be attributed to
www.mandiant.com
'보안뉴스' 카테고리의 다른 글
| 야심차게 준비한 크롬 웹스토어의 안전 장치, 잠깐의 실험만으로 뚫렸다 (0) | 2023.09.08 |
|---|---|
| 사이버 생태계를 더 위험하게 만드는 골칫거리, 룻키트 (0) | 2023.07.19 |
| 개인정보·답안지 유출 등 말 많고 탈 많은 ‘4세대 나이스’... 교육계 일대 ‘혼란’ (0) | 2023.06.27 |
| 어느 새 다크웹의 인기 아이템이 된 챗GPT 크리덴셜, 정보 탈취 멀웨어가 문제 (0) | 2023.06.22 |
| MS, “6월초 있었던 아웃룩/클라우드 기능 장애는 사이버 공격에 의한 것” 외 3건 (0) | 2023.06.19 |