20.11.04 ( APT 단체들 옛 기법과 신기술 혼합해 방어선 흐트리다, 현재 해커들이 공격에 활발히 사용하는 윈도 제로데이 취약점 주의, 대기업을 노리던 랜섬웨어 '메이즈' 운영 중단 )

1. APT 단체들, 옛 기법과 신기술 혼합해 방어선 흐트리다 !

 

APT 그룹들이 계속해서 자신들의 목적을 달성하고 있다고 합니다. 그런 와중에 다양한 전략과 기법을 선보이며 수사와 추적에 혼란을 주고 있다고 합니다.😑

 

이런 단체들이 3사분기 동안 보여준 행동 패턴들을 보안 업체인 카스퍼스키(Kaspersky)가 정리하여 발표했다고 합니다.

 

3사분기에는 플랫폼을 노린 공격이 증가했고 감염 방식이 새로워졌다고 합니다. 그리고 정상적인 도구와 서비스를 공격에 활용하는 경우가 특히 늘었다고 합니다. 

 

활발한 활동을 하는 APT 단체 중 하나인 데스스토커는 2018년부터 똑같은 방식으로, 거의 비슷한 표적들만을 계속해서 공략하는 중이라고 합니다. 이에 카스퍼스키는 다음과 같이 발표했다고 합니다.😀

주로 법과 금융 산업의 조직들을 같은 전략으로 노리는 조직입니다. 너무 광범위한 지역에서 공격을 진행하고 있기 때문에 기업들의 민감 정보를 전문적으로 노리는 용병 단체로 보고 있습니다. 주로 파워셸을 기반으로 한 임플란트인 파워싱(Powersing)을 공격에 활용합니다. 

이들은 최근 유행하는 소식들을 활용한 피싱 이메일을 통해 피해자들을 공략하는 편인데, 최근들어 기술적인 진화를 보인다고 언급했다고 합니다.

전에는 인터넷 포럼이나 코드 공유 사이트를 활용하여 C&C 활동을 했다면 최근 들어서는 임베드 된 IP 주소나 도메인 이름을 통해 멀웨어를 C&C 서버와 직접 연결시킵니다. 또한 정교한 스피어피싱 메일 한 통이 아니라 여러 번의 이메일 교환을 통해 피해자를 속이려는 시도도 눈에 띄기 시작했습니다.

게다가 새로운 파워셸 임플란트인 파워페퍼(PowerPepper)가 얼마 전부터 발견되기도 했다고 합니다. 파워페퍼는 MS Word 문서를 통해 퍼지며, C&C 서버와의 통신을 위해 DoH(DNS over HTTPS) 프로토콜을 활용한다고 합니다.😀

 

지난 10월 카스퍼스키는 가짜 UEFI 펌웨어 이미지를 통한 멀웨어 감염 기법을 사용하는 공격 캠페인을 공개했는데, 펌웨어 이미지를 조작하여 멀웨어를 퍼트리는 고급 기법을 구사한 공격 단체에는 모자익리그레서라는 이름이 붙었다고 합니다.

 

UEFI는 저층위 플랫폼 펌웨어의 구성요소로, OS를 로딩하거나 펌웨어 업데이트를 진행하는 기능을 가지고 있다고 합니다. 모자익리그레서는 이 UEFI 펌웨어를 조작함으로써 OS가 정상적으로 로딩된 이후 자신들이 원하는 멀웨어가 실행되도록 만들 수 있다고 합니다. 그래서 OS를 새롭게 설치한다고 해도 멀웨어가 사라지지 않는다고 합니다. 심지어 하드드라이브를 바꿔도 공격을 막을 수 없게 된다고 합니다.😮

 

이러한 것들을 통해 카스퍼스키는 보고서에 다음과 같이 썼다고 합니다.😀

사이버 보안 전문가들에게 이런 현상이 갖는 의미는, 과거에 정상적으로 사용되어 온 환경이나 요소들에서 발생하는 새로운 위협을 탐지하고 와해시키는 데에 자원을 투자해야 한다는 것입니다. 여태까지 괜찮았다고 여겨진 요소들이라고 해서 모니터링과 검사를 소홀히 해서는 안된다는 의미입니다. 덜 유명한 언어로 작성된 멀웨어, 정상 클라우드 서비스에 호스팅된 문건 등에 특히 주의를 기울여야 합니다.

 

 

 

2. 현재 해커들이 공격에 활발히 사용하는 윈도 제로데이 취약점 주의

 

구글 보안 연구원이 현재 활발히 악용되고 있는 윈도우 운영체제 제로데이 취약점(CVE-2020-17087)을 공개했다고 합니다.😀

 

구글 프로젝트 제로 팀장인 벤 호크스(Ben Hawkes)는 트위터를 통해 해당 취약점이 구글이 최근 공개한 또 다른 크롬 브라우저 제로데이(CVE-2020-15999)와 연결되어 있다고 밝혔다고 합니다. 구글 연구원들은 해당 결함에 대한 패치가 11월 10일에 할 것이라고 예상하고 있다고 합니다.😀

 

크롬 제로데이는 샌드박스 탈출 문제로, 이를 통해 공격자는 크롬 보안 컨테이너를 탈출하고 기본 운영체제에서 코드를 실행할 수 있다고 합니다.

 

구글 보안 권고문에서 다음과 같이 설명했다고 합니다.😀

다음 버그가 in the wild에서 사용되고 있다는 증거를 발견했습니다. 따라서 이 버그는 7일 간의 공개 기한이 적용됩니다. 윈도 커널 암호화 드라이버는 \Device\CNG 장치를 사용자 모드 프로그램에 노출시키고, 사소하지 않은 입력 구조를 가진 다양한 IOCTL을 지원합니다. 샌드박스 탈출과 같은 권한 상승을 위해 악용 가능한 로컬 액세스 공격 표면을 구성합니다.

구글 프로젝트 제로팀은 지난주 마이크로소프트에 해당 취약점 해결을 위한 7일을 주었지만 아직 해결되지 않은 상태라고 합니다.

 

이 취약점은 Windows 7과 Windows 10 사이 모든 버전에 영향을 미친다고 합니다. 또한 구글 연구원들은 해당 취약점 악용을 위한 개념 증명 코드를 게시했다고 하네요.😁

 

 

 

 

3. 대기업을 노리던 랜섬웨어 '메이즈' 운영 중단

 

LG 전자, 캐논 등 대기업들을 공격하던 유명 랜섬웨어인 '메이즈(Maze)' 운영이 중단되었다고 합니다.😀

 

이는 미국 IT 매체인 블리핑컴퓨터에서 메이즈 운영자는 자체 웹사이트에서 기업 데이터 유출을 중단한다고 밝혔다고 합니다.

 

메이즈는 국내외에서 활발히 유포된 랜섬웨어로 복호화 비용 지불을 거부하는 피해자에 대해, 탈취한 데이터를 공개하는 사이트인 '메이즈뉴스'를 만들어 협박 수위를 높인 것이 특징이라고 합니다.

 

메이즈가 이같은 사이트를 운영하자, 타 랜섬웨어 운영자들도 잇따라 탈취 데이터 공개 사이트를 개설하기도 했다네요.🤨

 

메이즈 운영자는 최근 등장한 새 랜섬웨어인 '에그레고르'로 주 공격 수단을 변경한 것으로 분석된다고 합니다. 에그레고르는 최근 크라이텍, 유비소프트 등 여러 기업을 공격한 것으로 알려져 있다고 합니다. 또한, 최근 나타난 랜섬웨어 '세크메트(Sekhmet)'도 메이즈 운영자가 개발한 것으로 추정되고 있다고 합니다!

 

 

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=92338&page=1&kind=1

APT 단체들, 옛 기법과 신기술 혼합해 방어선 흐트러트려

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29656&key=&dir_group_dist=&dir_code=&searchDate=

현재 해커들이 공격에 활발히 사용하는 윈도 제로데이 취약점…주의

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29655&key=&dir_group_dist=&dir_code=&searchDate=

대기업 공격 랜섬웨어 '메이즈' 운영 중단