openLab

0xNews - 신종 랜섬웨어로 한국 기업을 노리는 북한 해커 공격 경고 MS TSIC Microsoft Threat Intelligence Center 발표 https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/ 2021년 9월부터 한국 기업을 대상으로 하는 사이버 공격에 랜섬웨어가 사용되는 공격 확인 H0lyGh0st 라는 이름의 해커 그룹으로 MS 에서는 DEV-0530 으로 지정하여 추적 중 제조업, 은행, 학교 등 중소기업을 주요 대상으로 공격하는 것으로 확인 H0lyGh0st 페이로드와 함께 DEV-0530 은 공격 대상자 시스템에 설치 후 연결되는 사이트로 .onion 사이트 지목 공격이 성공하면 대상 기기의 모든 파일 암호화 후 파일 확장자를 .h0lyenc 로 변경 피해자에게 증거로 파일 샘플을 보낸 후 파일에 대한 복원을 대가로 비트코인으로 지불할 것을 요구 현재까지 확인 결과 DEV-0530 은 피해자에게 1.2~5BTC 요구 중 암호화폐 지갑 분석 결과 2022년 7월초까지 피해자로부터 몸값 지불은 없는 것으로 확인 DEV-0530 은 DarkSeoul 혹은 Andariel 로 불려지는 다른 북한 기반 공격 그룹과 관련이 있는 것으로 파악 공격자는 랜섬웨어의 공격 환경이 점점 알려지면서 공격 성공 빈도가 낮아지면서 공격자의 정보가 외부 노출되는 것을 감안하면서 보다 더 적극적으로 수행 GoodWill 과 같은 부자가 가난한 자에게 기부를 함으로써 빈부격차를 줄이자는 명분을 내세우는 랜섬웨어 공격도 발견되면서 오히려 당당하게 랜섬웨어 공격의 정당성을 주장 Andariel 공격 그룹과는 기술적 이동 경로가 인프라 세트와의 중복 정보가 노출되면서 두 집단을 관리하는 상위 그룹이 동일한 것으로 분석 DEV-0530 활동은 한국 표준시 UTC +0900

0xNews - Intel, AMD 에 영향을 미치는 새로운 공격 Retbleed 발견 ETHZurich 발표 https://comsec.ethz.ch/research/microarch/retbleed/ Retbleed 로 명명 CVE-2022-29900 - AMD 프로세서 취약점 CVE-2022-29901 - Intel 프로세서 취약점 각 제조회사는 해당 취약점에 대한 소프트웨어를 통한 대응 방안 발표 Intel 의 해당 취약점 대응 정보 발표 링크 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00702.html Retbleed 또는 Spectre-BTI CVE-2017-5715 또는 Spectre-V2 로 알려진 스펙터 Spectre 공격의 클래스에 추가 공격 타이밍 사이드 채널을 통해 예측 실행이라는 최적화 기술의 부작용을 이용하여 속임 프로그램이 메모리 공간의 임의 위치에 접근하고 개인 정보 누출 데모 동영상 예측 실행은 성능 향상을 위해 다음에 실행할 명령을 예측 프로그램의 명령 파이프라인을 채우고 예측이 잘못된 것으로 판단되면 실행 결과를 취소하려고 시도함 스펙터와 같은 공격은 잘못된 예측의 결과로 이런 잘못 실행된 명령이 캐시에 실행 흔적을 남기게 되어 불량 프로그램이 프로세서를 속여 잘못된 코드 경로를 실행 피해자와 관련된 기밀 정보를 추론하여 외부 유출 유도 달리 말하면 스펙터는 하드웨어 설계 결함에 의존하여 추론적으로 실행되는 명령어 스퀸스와 피해자의 메모리 주소 공간 내에서 암호화 키 혹은 비밀번호를 누출하는 영향을 미치는 일시적인 실행 공격의 인스턴스 이것은 차례로 희생자와 공유된 캐시에서 메모리 읽기를 수행하는데 걸리는 시간을 측정 Flush + Reload 와 같은 마이크로아키텍처 사이드 채널을 통해 달성되지만 공유 메모리 중 일부를 플러시 하기 전에는 그렇지 않아 읽기가 빠르거나 느림 피해자가 제거된 이후 모니터링된 캐시 라인에 접근했는지 여부에

0xNews - Github 와 MS 애저를 대상으로 하는 클라우드 기반 암호화폐 채굴 공격 캠페인 발견 Trendmicro 발표 https://www.trendmicro.com/en_us/research/22/g/unpacking-cloud-based-cryptocurrency-miners-that-abuse-github-ac.html 공격자들이 쉽게 이익을 얻기 위해 자체 암호화폐 채굴기를 개발 악의적으로 다운로드하고 설치하도록 유도 조직의 파이프라인과 자동화를 실행하기 위해 Github 에서 제공하는 runner 나 서버 리소스 남용하는 것을 대상으로 함 GHAs Github Actions 사용자가 소프트웨어 빌드, 테스트, 배포 파이프라인을 자동화할 수 있는 CI/CD 플랫폼 개발자는 이 기능을 활용하여 코드 리포지토리에 대한 모든 pull 요청을 빌드 혹은 테스트하거나 병합된 pull 요청을 프로덕션에 배포하는 워크플로 생성 MS Cloud 애저 Azure의 Standard_DS2_v2 가상머신은 윈도우, 리눅스 실행기 가상머신에 호스팅 vCPU 2개와 7GB 메모리 제공 이번 공격을 받은 한 일본 회사의 경우 Github 에서 제공한 runner 를 사용하여 플랫폼을 활용하여 암호화폐 채굴하는 1,000개 이상 리포지토리와 550개 이상 샘플 코드 확인 11개의 리포지토리에서는 모네로 Monero 코인 채굴 명령이 포함된 Yaml 스크립트의 유사한 변종을 보유하고 있는 것으로 확인 모두 동일한 암호화폐 지갑에 의존한 것으로 확인되어 단일 공격자나 그룹인 것으로 판단 현재까지 문제 확인 결과 GHAs 가 Github Marketplace 에서 공유되거나 다른 작업에 대한 종속성으로 사용될 때 문제가 발생된 것으로 확인 채굴기를 통한 공격 캠페인 경우 패치되지 않은 취약점, 취약한 자격 증명, 잘못 구성된 클라우드 구현과 같은 대상 시스템 내 보안 취약점을 악용하여 클라우드 배포에 침투하는 것으로 알려짐 맬웨어 도구 세트는 킬 스크립트를 사용하여 경쟁하

0xNews - 미국 의료기관을 공격하는 북한 랜섬웨어 발견 미국 CISA U.S. Cybersecurity and Infrastructure Security Agency 발표 https://www.cisa.gov/uscert/ncas/alerts/aa22-187a 최초 2021년 5월부터 실시된 북한에서 지원하는 해커들이 미국 의료 부문을 대상으로한 공격 경고 마우이 Maui 로 명명된 랜섬웨어 사용 전자 건강 기록 서비스, 진단 서비스, 영상 서비스, 인트라넷 서비스 등 의료 서비스를 담당하는 서버를 암호화하는 공격 실행 CISA 에서 피해 사례 정보 공개 https://www.cisa.gov/uscert/ncas/current-activity/2022/07/06/north-korean-state-sponsored-cyber-actors-use-maui-ransomware 이번 공격 경고의 권고 중 특징적인 사항은 랜섬웨어 공격 기반 RaaS Ransomware-as-a-Service 몇가지 주요 기능이 삭제 복구를 위한 암호화폐 지불 여부에 대한 내용이 없음 대신 샘플 분석 결과에 따르면 CUI 를 통해 공격자가 원격에서 수동으로 실행하도록 설계 서버에 설치된 후 특정 파일을 지정하여 암호화 대상을 지정 고유키로 AES 128bit 로 대상 파일 암호화 수행 이것 외 맬웨어가 실행될 때 처음 생성된 키쌍을 사용하여 차례로 RSA 암호화 수행 RSA키는 각 캠페인에 고유한 하드 코딩된 RSA 공개키를 사용하여 암호화 수행 현재까지 이번 공격 캠페인의 전파 방식에 대해 파악되고 있지 않음 의료기관 서비스는 중단 없는 서비스를 해야 하기에 몸값 지불이 상대적으로 허락한다는 점을 악용 의료기관 중 61% 는 전 세계 평균인 46% 와 비교하여 합의를 선택 2021년 기준 몸값을 지불한 조직 중 2% 만 데이터 완전 복구 Sophos 에서 발표한 State of Ransomware in Healthcare 2022 보고서 링크 https://www.sophos.c

0xNews - 암호화폐 채굴 공격 캠페인과 관계된 NPM 패키지 발견 Checkmarx 발표 https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/ CuteBoi 로 명명 https://cuteboi.info/ NPM 공급망을 통한 배포를 통한 악의적인 활동을 실하게 되며 1,000개 이상 각기 다른 사용자 계정에서 자동화된 방식으로 1283개 악성 모듈 포함하여 공격 전개 NPM 2FA 통과하는 기능을 포함하는 자동화를 사용하여 수행 현재까지 확인된 패키지 클러스터들은 전체가 확인되지 않고 있음 문제가 된 릴리스된 모든 패키지는 웹 서버에서 사용되지 않은 자원을 활용하여 모네로 Monero 채굴 이에 사용되는 eazyminer 이라는 기존 패키지와 거의 동일한 소스코드 확인 이번 캠페인에서 주목할 점은 채굴된 암호화폐가 전송되어야 하는 URL 을 수반하지만 악성 모듈을 설치해도 부정적인 영향을 미치지 않음 eazyminer 에서 복사한 코드에는 독립실행형 도구가 아니라 다른 프로그램 내에서 실행되도록 의도된 채굴 기능 포함 2022년 초 RED-LILI 경우 패키지에서 공격자가 2FA 보호를 무력화할 수 있도록 하는 자동화 기술 탑재 RED-LILI 를 포함한 이전 공격 캠페인은 공격자가 만든 서버와의 통신을 위해 Selenium 이나 Interactsh 와 같은 도구와 조합하여 사용하도록 프로그래밍 CuteBoi 는 mail.tm 이라는 일회용 이메일 서비스를 활용 https://mail.tm/en/ mail.tm 등의 무료 플랫폼은 Rest API 를 제공하여 프로그램이 일화용 사서함을 열고 간단한 API 호출로 수신된 이메일을 읽을 수 있도록 하여 공격자가 사용자 계정을 생성할 때 2FA 문제를 우회할 수 있도록 함

0xNews - 리눅스 운영체제 내 모든 프로세스에 대한 공격 가능한 맬웨어 발견 Intezer 발표 https://www.intezer.com/blog/incident-response/orbit-new-undetected-linux-threat/ OrBit 로 명명 이 맬웨어는 실행된 명령의 출력되는 위치가 /tmp/.orbit 에 임시로 저장되서 사용되기에 명명 시스템에 맬웨어가 감염되면 휘발성 임플란트 추가 설치 고급 회피 기술로 구현되어 주요 기능을 연결하여 시스템 접속에 대한 지속성 확보 SSH를 통한 원격 접속이 가능하도록 하며 자격 증명을 수집하고 TTY 명령을 기록 맬웨어가 설치되면 시스템에서 실행 중인 모든 프로세스를 감염시키도록 설계 공유 객체를 로드하기 위해 LD_PRELOAD 환경 변수 활용 이를 위해 로더가 사용하는 구성파일에 공규 개체를 추가 혹은 로더 자체의 바이너리를 패치하여 악의적인 공유 개체를 로드 페이로드 libdl.so 추출하고 동적 링커에 의해 로드되는 공유 라이브러리에 추가하는 ELF 드롭퍼 파일을 통해 공격 시작 Virustotal 에 등록된 libsl.so 파일 정보 https://www.virustotal.com/gui/file/40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020 Virustotal 에 등록된 elf 드롭퍼 파일 정보 https://www.virustotal.com/gui/file/f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8/detection 공격자만든 공유 라이브러리는 libc, libcap, PAM Pluggable Authentication Module 등 세가지 라이브러리에서 기능을 연결하도록 설계 기존 프로세스나 새로 실행되는 프로세스가 수정된 기능을 사용하도록 함 이를 통해 자격 증명 수집, 네트워크 활동에서의 숨기기나 관련 설정을 허용 SSH를 통한 호스

0xNews - 데이터 탈취를 수행하는 NPM 패키지 발견 ReversingLabs 발표 https://blog.reversinglabs.com/blog/iconburst-npm-software-supply-chain-attack-grabs-data-from-apps-websites IconBurst 로 명명 난독화된 javascript 가 포함된 24개 이상의 NPM 패키지 포함 이를 사용하여 만든 웹사이트의 사용자가 양식에 입력한 데이터를 훔치도록 설계된 악성 모듈 탑재 공격자가 정상적인 패키지와 유사하거나 일반적인 철자 오류가 있는 패키지를 공개 저장소를 통해 제공하는 기술인 타이포스쿼팅 typo-squatting 에 의존 공격자는 ionic.io 에 게시한 umbrellajs 와 NPM 패키지와 같은 트래픽이 많은 NPM 모듈로 위장 문제의 패키지들은 대부분 지난 달 게시되어 현재까지 총 27,000번 이상 다운로드  대부분의 모듈은 저장소에 등록되어 있어서 계속 다운로드 가능 문제로 지적된 모듈 리스트와 다운로드 횟수 icon-package - 17,774 ionicio - 3,724 ajax-libs - 2,440 footericon - 1,903 umbrellaks - 686 ajax-library - 530 pack-icons - 468 icons-package - 380 swiper-bundle - 185 icons-packages - 170 확인된 패키지들 악용 사례로는 icon-package 에서 추출된 데이터는 정상적인 ionic.io 웹사이트와 비슷하게 만든 ioninio.com 이라는 도메인으로 라우팅되도록 함 악성 모듈을 사용하여 감염된 앱과 웹에서 유출된 데이터의 범위를 결정할 방법이 없기에 공격의 전체 규모는 확인되지 않음 이번 공격의 성공으로 확인된 것은 애플리케이션 개발의 자유로움과 민감함 애플리케이션과 IT환경에 침입하는 악성코드나 취약한 코드에 대한 장벽이 낮아짐을 인지해야함

0xNews - 아마존에서 안드로이드 사진앱의 취약점에 대한 패치 실시 Checkmarx 발표 https://checkmarx.com/blog/amazon-confirmed-and-fixed-a-high-severity-vulnerability-of-broken-authentication-in-amazon-photos-android-app/ 아마존 Amazon 은 2021년 12월 사용자 접속 토큰을 탈취하는데 악용될 수 있는 안드로이드 Android 사진앱에 영향을 미치는 취약점 패치 실치 아마존 접속 토큰은 여러 아마존 API에서 사용자를 인증하는데 사용 이 중 일부는 이름, 이메일, 주소와 같은 개인 데이터가 포함 Amazon Drive API 와 같은 다른 API 는 공격자가 사용자 파일에 대한 전체 접근 허용 이스라엘 애플리케이션 보안 테스트 회사가 2021년 11월 7일 아마존에 해당 문제 최초 보고 12월 18일 수정 사항 발표 정보 유출은 AndroidManifest.xml 파일에 정의되어 있고 시작할 때 접속 토큰이 포함된 헤더 외부 앱이 intent, 앱 간 통신을 용이하게 하는 메시지를 발송 문제의 취약점이 있는 활동을 시작하고 HTTP 요청을 공격자가 제어하는 서버로 리디렉션하여 접속 토큰을 추출  이런 경우는 broken authentication 이라 지칭 이 취약점으로 인해 기기에 설치된 악성 앱이 접속 토큰을 획득하여 공격자가 추후 활동에 API 를 사용할 수 있는 권한을 부여할 수 있음 이번 취약점의 경우 아마존 드라이브에서 파일과 폴더 삭제나 히스토리 삭제 피해자의 파일을 읽어들이거나 암호화 가능 랜섬웨어 공격을 준비하기 위한 접근에 대해 악용 등 다양한 공격 시나리오가 실현 가능 현재까지 확인 결과 PoC 일부만으로 악용되는 API 가 전체 아마존 생태계의 작은 하위 집합 정도 이번 취약점은 더 광범위하게 영향을 미칠 수 있음을 경고

0xNews - 리눅스 서버를 노리는 채굴 공격 캠페인 경고 Microsoft Security Intelligence 트위터를 통해 공개 https://twitter.com/MsftSecIntel/status/1542281805549764608 8220 으로 지정되어 추적되는 클라우드 위협 행위자 그룹은 장기간 지속적인 공격 캠페인 수행 리눅스 서버를 노리는 암호화폐 채굴기 crypto miners 를 설치하는 악성 프로그램 도구 세트 업데이트 확인 업데이트에는 새로운 버전의 채굴기와 IRC 봇 배포가 포함 해당 그룹은 지난 1년 동안 기술과 탑재량을 적극적으로 업데이트 실시 8220 은 2017년 초부터 활동했으며 중국어를 사용하는 모레노 Monero 채굴 위협 행위자 포트 8220 을 통해 C&C command-and-control 서버와 통신하는 것을 선호하기 때문에 이와 같이 명명 whatMiner 라는 도구 개발과 Rock 사이버 범죄 그룹 공격에도 참여 2019년 7월 알리바바 클라우드 보안팀에서 루트킷을 사용하여 채굴기를 숨긴다는 점을 지적하면서 공격자의 변화를 확인 알리바바 클라우드 Alibaba Cloud 발표 자료 링크 https://www.alibabacloud.com/blog/8220-mining-group-now-uses-rootkit-to-hide-its-miners_595055 2년 후인 2019년 Tsunami IRC 봇넷 변종과 맞춤형 채굴기 PwnRig 로 다시 등장 LaceWork 에서 8220 추적 관련 발표 자료 링크 https://www.lacework.com/blog/8220-gangs-recent-use-of-custom-miner-and-botnet/ CVE-2022-26134 지정된 Atlassian Confluence Server CVE-2019-2725 지정된 Oracle WebLogic 등 2개 취약점을 대상으로 i686 이나 x86_64 리눅스 시스템을 공격하는 캠페인으로 확인 취약점 공격이 성공하면

0xNews - 구글에서 해킹 그룹에서 운영하는 도메인 차단 발표 구글 TAG Threat Analysis Group 발표 https://blog.google/threat-analysis-group/countering-hack-for-hire-groups/ 구글의 TAG Threat Analysis Group 는 인도, 러시아, UAE 등의 해킹 그룹에서 운영하는 최대 36개 도메인 차단 조치 발표 hack-for-hire 회사는 기업은 물론 활동가, 언론인, 정치인 등을 대상으로 하는 표적 공격을 하고 해킹 그룹은 이를 보호하거나 위조하는 역할을 수행 일부 공격자는 비용을 지불할 의사가 있는 누구에게나 공개적으로 제품과 서비스를 홍보하고 판매 다른 일부는 제한된 대상에게 더 은밀하게 판매 이 중 일부 국가의 해킹 공격 사업자에 의해 시작된 캠페인은 키프로스의 IT회사, 나이지리아의 교육 기관, 발칸 반도의 핀테크 회사 등을 대상으로 공격한 것을 확인 2012년부터 추적한 인도의 한 대상 기업은 정부 기관, AWS Amazon Web Services, Google mail 계정과 로그인 관련 정보 수집 등 자격 증명 수집을 위한 피싱 공격과 연결된 것으로 확인 ex) 샘플 - AWS 피싱 메일 이 캠페인에는 악성 링크가 포함된 스피어 피싱 Phishing 이메일 전송이 포함 링크를 클릭하면 사용자가 입력한 자격 증명을 탈취하도록 설계된 공격자가 제어하는 피싱 페이지에서부터 접속 시작 러시아가 배후로 의심되는 Void Balaur 이라는 회사는 2021년 11월 Trend Micro 에서 언론인, 유럽 정치인, 비영리 단체를 대상으로 한 자격 증명 공격 추적 중 확인 Trend Micro 발표 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-far-reaching-attacks-of-the-void-balaur-cybermercenary-group UAE 에