0xNews - 브라우저 취약점을 악용한 두 개의 백도어 설치 공격 캠페인

트렌드마이크로 발표

구글 크롬 Chrome 와 MS 인터넷 익스플로러 Internet Explorer 과 같은 웹 브라이주 취약점을 악용하여 한국의 디아스포라 diaspora 대상으로 하는 새로운 워터링 홀 공격 정보 공개

디아스포라는 타국가에 살면서 일하는 이주민이나 집단 등을 지칭

오퍼레이션 어스 키스네 Operation Earth Kitsune 로 명명된 이번 캠페인은 악성코드와 두 개의 새로운 백도어 SLUB - 슬랙 SLack and githUB- 의 사용을 포함

exfiltrate 시스템 정보를 이용하여 손상된 기계의 제어를 획득

워터링 홀 공격은 Watering Hole 공격 대상이 방문할 가능성이 높은 정상적인 웹 사이트를 공격하여 미리 감염시킨 후 대기

이후 대상자의 기기에 악성코드를 추가로 인젝션하거나 설치하는 공격

어스 키스네는 북한과 관련된 웹 사이트에 스파이웨어 샘플을 배포한 것으로 알려졌지만 해당 웹 사잍에 대한 접속은 한국 IP 주소에서 시작된 사용자에 대해 차단된 것으로 파악

이전 공격의 SLUB 를 포함하는 윈도우 시스템에 악성 코드를 다운로드하고 공격자 제어 개인 여유 채널로 실행 결과를 게시할 GitHub 저장소 플랫폼을 사용하여 악성코드의 최신 버전을 반복으로 연동

캠페인은 매우 다양하여 피해자 컴퓨터에 수많은 샘플을 배포하고 이 작업 중 여러 C&C 서버에 접속

총 5개 C&C 서버, 7개 샘플 악성 코드, 4개의 N-day 취약점에 대한 익스플로잇을 사용한 캠페인 확인

이런 공격에 대한 탐지를 방해하기 위해 보안 소프트웨어가 설치된 시스템을 건너 뛰도록 설계

공격자가 특수 제작된 HTML 을 통해 샌드박스 내에서 임의의 코드를 실행할 수 있도록 이미 패치된 구글 크롬 취약점 CVE-2019-5782 에 대한 공격 확인

이와 별개로 MS 인터넷 익스플로러의 취약점 CVE-2020-0674 도 감염된 웹 사이트를 통해 맬웨어를 전달하는데 사용

감염 경로에 대한 차이에도 불구하고 익스플로잇 체인은 동일한 단계를 거쳐 진행

C&C 서버와 연결

해당 시스템에 맬웨어 방지 솔루션의 유무 확인

드롭퍼 Dropper 를 다운로드

최소 3개 백도어 샘플 확인 - 해당 파일 중 JPG 형식도 존재

추가 확인된 사항 중 Mattermost 서버를 사용하여 감염된 호스트에서 수집된 정보를 검색하기 위해 각 시스템에 대한 개별 채널을 생성하는 것 외 여러 감염된 시스템에 걸쳐 배포를 추적

백도어 dnsSpy

설치된 시스템 정보 수집

스크린샷 캡처

C&C서버에서 받은 악성 코드 실행 파일 다운로드와 실행

결과를 압축하고 암호화된 상태에서 서버로 전달하여 유출

이 백도어의 설계의 흥미로운 측면 중 하나는 C&C 피벗 동작 pivoting behavior

중앙 C&C 서버의 응답은 실제로 dnsSpy 가 추가 지침을 수신하기 위해 통신해야 하는 다음 단계 C&C 서버의 도메인/IP

다른 백도어인 agfSpy 는 쉘 명령 다운로드

실행 결과를 다시 전달

이 외 중요 기능으로 디렉토리 열거하고 파일을 나열, 업로드, 다운로드, 실행

캠페인 확인 후 분석 중 맬웨어의 발전적인 기능 중 하나로 보안 제품의 탐지 회피를 위해 새로운 샘플을 사용하는 것으로 분석

이 외 이번 백도어 분석을 통해 구글 크롬 익스플로잇 쉘 코드나 백도어 기능과 성능을 통해 보다 많은 인원이나 그룹 등이 있음으로 보이여 계속 추적하여 루트를 찾을 수 있을 것이라 예상

openLab