openLab

0xNews - AWS 대상 암호화폐 채굴 캠페인 실행 공격자 적발 Permiso 발표 https://permiso.io/blog/s/unmasking-guivil-new-cloud-threat-actor/ 인도네이사 출신 공격자 그룹이 AWS Amazon Web Services EC2 Elastic Compute Cloud 인스턴스를 활용 불법 암호화 채굴 작업을 수행하는 것을 확인 2021년 11월 이 공격 그룹은 처음 탐지 클라우드 보안 회사 Permiso P0 Labs 는 이 그룹의 이름을 GUI-Vil 로 명명 이 그룹은 GUI Graphical User Interface 도구, 특히 S3 브라우저 v.9.5.5 초기 작업에 선호하는 것으로 확인 AWS 콘솔 접속 권한을 얻으려면 웹 브라우저를 통해 직접 작업을 수행 GUI-vil 에 의해 탑재된 공격 체인은 GitHub에 공개된 노출된 소스 코드 저장소에서 AWS키를 무기화하거나 원격 코드 실행 취약점 CVE-2021-22205 에 취약한 GitLab 인스턴스를 스캔 후 초기 접속 권한 획득 수신에 성공하면 권한 상승과 내부 정찰로 이어져 사용 가능한 모든 S3 버킷을 검토 AWS 웹 콘솔을 통해 접속할 수 있는 서비스를 결정 공격자의 작업 방식에서 주목할 측면은 동일한 명명 규칙을 준수 궁극적으로 목표를 달성하는 새로운 사용자를 생성하여 피해자 환경 내에서 지속하기 위한 시도 GUI-vil 은 생성 중인 새 ID에 대한 접속키도 생성 신규 사용자와 함께 S3 Browser 를 계속 사용할 수 있음 또는 이 그룹은 위험 신호를 발생하지 않고 AWS 콘솔에 접속할 수 있도록 로그인 프로필이 없는 기존 사용자를 위해 로그인 프로필을 생성하는 것도 발견 GUI-vil이 인도네시아 활동을 확인한 것은 관련된 소스 IP 주소가 동남아시아 국가에 위치한 두개의 ASN Autonomous System Number 에 연결되어 있다는 것을 확인 이 그룹은 금전적인 이익을 추진하고 있는 주요 임무는 EC2 인스턴스를

0xNews - 삼성 스마트폰에서 취약점 확인 미국 CISA 발표 https://www.cisa.gov/news-events/alerts/2023/05/19/cisa-adds-three-known-exploited-vulnerabilities-catalog 미국 CISA Cybersecurity and Infrastructure Security Agency 삼성전자 장치에 중간 정도의 심각도 취약점이 확인되고 이를 공격자가 적극적으로 악용하는 것에 대해 경고 CISA-2023-21492 CVSS 4.4 안드로이드 11, 12, 13 등에서 확인되었으며 일부 삼성전자 기기에서 영향을 받는 것으로 확인 이번에 확인된 취약점은 ASLR Address Space Layout Randomization 보호를 우회하기 위해 악용할 수 있는 정보 공개 취약점인 것으로 확인 ASLR은 장치 메모리에서 실행 파일의 위치를 가리거나 숨김 이는 메모리 손상이나 임의 코드 실행 취약점을 방지하기 위해 설계된 보안 기술 중 하나 이번 취약점은 익스플로잇이 현재 공격자가 확보하여 실행 중이라는 것을 2023년 1월 17일 삼성전자가 비공개에서 공개로 전환하면서 확인 삼성전자 발표 https://security.samsungmobile.com/securityUpdate.smsb?year=2023&month=05 이번 취약점에 대한 악용된 결과는 현재까지 비공개 하지만 과거 삼성전자 휴대폰의 취약점을 이용한 악성 소프트웨어를 배포하기 위해 상업용 스파이웨어의 공급망 공격에 의해 무기화가 되기도 했음 구글 TAG Threat Analysis Group 발표 자료 링크 https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms/ 2020년 8월 구글 Project Zero 는 Quram qmg 라이브러리 SVE-2020-16747, SVE-2020-1767

0xNews - AI사용자를 노리는 공격 캠페인 발견 eSentire 발표 https://www.esentire.com/blog/batloader-impersonates-midjourney-chatgpt-in-drive-by-cyberattacks openAI 의 ChatGPT 같은 생성형 AI 서비스에 대한 구글 검색 광고에 악의적으로 유도하여 RedLine Stealer 맬웨어 설치를 유도하는 공격 캠페인 발견 Batloader 캠페인의 일환으로 사용자를 공격자가 만든 웹 사이트로 유도하는데 사용 openAI의 ChatGPT와 Midjourney의 두 AI서비스는 인기 있는 서비스이지만 자체적인 독립형 앱은 부족한 상황 사용자는 웹 인터페이스를 통해 ChatGPT를 이용 Midjourney는 Discord를 사용 AI앱을 찾는 사람들이 가짜 앱을 홍보하는 웹 페이지를 사칭하도록 유도하려는 공격자들이 이 틈을 이용하여 악용 Batloader는 드라이브 바이 다운로드를 통해 전파되는 로더 맬웨어 검색 엔진에서 특정 키워드를 검색하는 사용자에게 허위 광고가 표시 사용자가 클릭하면 맬웨어를 호스팅하는 악성 랜딩 페이지로 리디렉션 설치 프로그램 파일은 실행파일 ChatGPT.exe 나 midjourney.exe 등으로 배포 원격 서버에서 RedLine Stealer 를 다운로드하고 로드하는 PowerShell스크립트 Chat.ps1 혹은 Chat-Read.ps1 으로 조작 설치가 완료되면 바이너리는 MS Edge WebView2 를 사용 chat.openai[.]com 이나 www.midjourney[.]com 등의 URL로 팝업창 로드 악의적인 광고를 제공하고 궁극적으로 RedLine Stealer 맬웨어를 다운로드 하기 위해 공격자가 ChatGPT나 Midjourney 테마 미끼를 사용하는 것도 TrendMicro에 의해 확인 2023년 3월 eSentire는 Vidar Stealer 및 Ursnif를 배포하기 위해 ChatGPT미끼를 활용한 유사한 공격 세트를

0xNews - 안드로이드 폰 890만대 이상 사전 감염 확인 Trendmicro 발표 https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html BlackHat ASIA 2023 발표 https://www.blackhat.com/asia-23/briefings/schedule/index.html#behind-the-scenes-how-criminal-enterprises-pre-infect-millions-of-mobile-devices-31235 Lemon Group로 알려진 사이버 공격 그룹이 전 세계를 대상으로 수백만대 안드로이드폰에 대한 사전 감염 정보 확인 이를 통해 악의적인 활동을 수행하여 심각한 공급망 위험을 초래할 수 있음 이번 감염 확인은 모바일 프록시, SMS메시지, 소셜미디어, 온라인 메시징 계정을 탈취 광고나 클릭 사기 등의 활동을 통한 수익 창출 도구로 사용자 몰래 바뀔 수 있음 현재까지 미국, 멕시코, 인도네시아, 태국, 러시아, 필리핀, 아르헨티나 등에서 확인 안드로이드 폰 최대 890만대가 감염됐으며 주로 보급형 스마트폰인 것으로 확인 점차 진화하고 발전하는 문제 중 하나로 공격자는 스마트TV, 안드로이드TV박스, 엔터테인먼트 시스템, 키즈용 시계와 같은 안드로이드 기반 IoT 장치로 영역을 확장 중 최대 180개 이상 국가로 공격이 전파됐으며 50개 이상 모바일 장치 브랜드가 Guerilla 라는 맬웨어 변종에 의해 손상 공격 그룹은 최대 지난 5년 동안 이 악성코드를 유포했을 것이라 판단 감염된 장치가 중요한 핵심 인프라까지 손상된다면 정상적인 사용자에게 피해를 입힐 수 있으며 장기적으로는 공격 그룹인 Lemon Group에게 상당한 이익이 될 수 있음 2018년 Sophos 에서 클릭 사기에 가담하고 백도어 역할을 하는 기능이 포함된 안드로이드 앱 15개가 구글 플레이 스토어

0xNews - OT 네트워크에서 새로운 11개 취약점 발견 Black Hat Asia 2023 컨퍼런스에서 이스라엘 보안회사 Otorio 발표 https://www.blackhat.com/asia-23/briefings/schedule/index.html#cloudy-with-a-chance-of-exploits-compromising-critical-infrastructure-through-iiot-cloud-solutions-31175 발표자료 PDF 링크 https://i.blackhat.com/Asia-23/AS-23-Gavrilov-Cloudy-With-a-Chance-of-Exploits.pdf 발표자 Otorio 사이트 링크 https://www.otorio.com/news-events/news/vulnerabilities-jeopardize-users-of-major-industrial-cellular-routers-cloud-management-platforms/ OT 네트워크는 산업의 운영기술환경을 말하는데 외부 공격에 노출시킬 수 있는 3개의 산업용 셀룰러 라우터 공급업체와 관련된 클라우드 관리 플랫폼에서 몇가지 보안 취약점 확인 총 11개 취약점이 확인 됐으며 원격 코드 실행 RCE Remote Code Execution과 수십만대의 장치와 OT네트워크에 대한 완전한 제어가 가능 경우에 따라 클라우드를 사용하도록 구성되지 않은 경우에도 공격 가능 이 중, Sierra Wireless, Teltonika Networks, InHand Networks에서 원격으로 장치를 관리하고 작동하기 위해 제공하는 클라우드 기반 관리 솔루션에 단점이 확인 이 취약점을 성공적으로 악용하면 산업 환경에 심각한 위험을 초래할 수 있음 공격자가 보안 계층을 회피하고 민감 정보를 유출하고 내부 네트워크에서 원격으로 코드 실행 가능 더 나아가서 이 취약점을 사이버 무기화도 가능하여 네트워크의 장치에 대한 무단 접속 권한 획득 가능 상승된 권한으로 강제 종료와 같은

0xNews - 한국과 미국에 대한 공격을 수행하는, 랜섬웨어 Gang 이라 불리는 RA Group 발견 Cisco Talos 발표 https://blog.talosintelligence.com/ra-group-ransomware/ RA Group 으로 알려진 새로운 랜섬웨어 그룹 발견 여기서 유출된 Babuk 랜섬웨어 소스 코드를 활용하여 자체 로커 변종을 생성 2023년 4월 22일 발견 이후 파악되며 빠르게 공격을 확장 중 이 그룹은 제조, 자산관리, 보험사, 제약 등 여러 비즈니스 분야에 걸쳐 미국에 있는 3개 조직과 한국에 있는 1개 조직을 해킹 RA Group은 이중 갈취 공격을 시작하고 날짜 유출 사이트를 운영 피해자에게 몸값을 지불하도록 추가 압력을 가한다는 점에서 다른 랜섬웨어 공격자와 다르지 않음 윈도우 기반 바이너리는 간헐적 암호화를 사용 프로세스 속도를 높이고 탐지를 피하며 볼륨 쉐도우 복사본과 시스템 휴지통의 내용을 삭제 RA Group은 피해자의 이름과 유출 증거를 다운로드할 수 있는 고유한 링크가 포함된 맞춤형 랜섬 노트를 사용 피해자가 3일 이내 연락이 되지 않으면 공격자는 피해자의 파일을 유출 또한 피해자가 qTox 채팅 애플리케이션을 다운로드하고 랜섬 노트에 제공된 qTox ID를 사용 운영자에게 연락할 수 있도록 하드코딩된 목록을 통해 시스템 파일 및 폴더 암호화를 방지하도록 조치 실행 다른 랜섬웨어 작업과 차별화되는 점은 공격자가 보안 TOR 사이트에서 정보를 호스팅하여 유출 포털에서 피해자의 유출 데이터를 판매하는 것도 관찰 공격자들이 ESXi나 리눅스 랜섬웨어를 개발하기 위해 Babuk 빌더를 점점 더 많이 사용하기에 보안 회사에서 자주 눈에 띄고 있는 추세 이러한 공격자는 Babuk 소스코드를 크게 수정할 가능성이 적기 때문에 리소스가 적은 공격자가 사용할 때 특히 효과적임 지난 1년 동안 Babuk 소스코드를 채택한 다른 랜섬웨어 공격자는 AstraLocker, Nokoyawa를 포함 다른 랜섬웨어 변종인 Cheers

0xNews - MS-SQL 서버를 대상으로 하는 맬웨어 캠페인 발견 안랩보안비상대응센터 ASEC AhnLab Security Emergency response Center 발표 https://asec.ahnlab.com/en/52479/ 제대로 관리되지 않는 MS-SQL 서버에 CLR SQLShell 이라는 맬웨어가 전파되도록 설계된 새로운 캠페인 발견 SQLShell은 웹 서버에 설치할 수 있는 웹쉘과 유사하게 MS-SQL서버에 설치 이후 공격자의 명령 실행, 각종 악의적인 행위 수행 등 다양한 기능을 지원하는 악성코드 변종 CLR Common Language Runtime 저장 프로시저는 SQL서버 2005 이상에서 사용 가능 C# 이나 Visual Basic 과 같은 .NET 언어로 작성된 저장 프로시저를 나타냄 윈도우 명령 쉘을 생성하고 명령 실행을 위한 입력으로 전달하는 xp_cmdshell 명령을 사용 MS-SQL서버에 악성코드를 설치하기 위해 CLR저장 프로시저를 사용 LemonDuck, MyKings, Vollgar 와 관련된 기술을 포함 공격자가 사용하는 기술 중 일부는 xp_cmdshell 명령이나 OLE 저장을 실행하기 위한 무차별 공격이나 사전 공격을 통해 인터넷에 노출된 MS-SQL서버를 악용하는 것과 관련이 있음 절차를 수행하고 맬웨어를 실행하도록 함 CLR저장 프로시저의 사용은 공격자가 SQLShell 루틴을 이용하여 Metasploit과 같은 다음 단계 페이로드와 MrbMiner, MyKings, LoveMiner 와 같은 암호화폐 채굴기를 다운로드하는 것과 함께 가장 최근에 추가된 내용 SQLHelper, CLRSQL, CLR_module 라는 이름의 SQLShell은 여러 공격자가 손상된 서버에 대한 권한을 상승시키고 랜섬웨어, 프록시웨어를 시작하고 대상 네트워크에서 정찰 활동을 수행하는 기능을 통합하는데 사용 SQLShell은 백도어, 암호화폐 채굴기, 프록시웨어와 같은 추가 악성코드를 설치 WebShell과 유사한 방식으로

0xNews - PHP packagist 저장소 해킹으로 인해 PHP 패키지 사용한 5억개 사용자 패키지 손상 Packagist 발표 https://blog.packagist.com/packagist-org-maintainer-account-takeover/ Packagist 는 PHP 소프트웨어 패키지 저장소 공격자는 현재까지 기준 5억회 이상 설치되어 12개 이상의 패키지 정보를 탈취하기 위해 플랫폼에서 4개의 비활성 계정에 접속한 것으로 확인 공격자는 각 패키지를 포크하고 composer.json 의 패키지 설명을 자신의 메시지로 교체했지만 악의적 수정은 하지 않은 것으로 확인 패키지 URL 이 분기된 저장소를 가리키도록 변경 4개의 사용자 계정은 여러 Doctrine 패키지를 포함하여 총 14개의 패키지에 접속 가능 문제가 확인된 것은 2023년 5월 1일 다음은 이번 문제로 인해 영향을 받는 패키지 리스트 acmephp/acmephp acmephp/core acmephp/ssl doctrine/doctrine-cache-bundle doctrine/doctrine-module doctrine/doctrine-mongo-odm-module doctrine/doctrine-orm-module doctrine/instantiator growthbook/growthbook jdorn/file-system-cache jdorn/sql-formatter khanamiryan/qrcode-detector-decoder object-calisthenics/phpcs-calisthenics-rules tga/simhash-php neskafe3v1 이라는 닉네임을 사용하는 침투 테스터는 일자리를 얻기 위해 변경 사항을 적용한 것으로 확인 공격 체인을 통해 각 패키지의 packagist 페이지를 이름이 동일한 GitHub 저장소로 수정 Composer 환경내에서 사용되는 설치 워크플로를 효과적으로 변경 공격자가 이를 성공적으로 악용하게 되면 패키지를 다운로드 하는 개발

0xNews - MS Azure 관리 서비스에서 취약점 발견 이스라엘 클라우드 보안회사 Ermetic 발표 https://ermetic.com/blog/azure/when-good-apis-go-bad-uncovering-3-azure-api-management-vulnerabilities/ MS cloud 서비스인 Azure 에서 공격자가 중요 정보나 백엔드 서비스에 접근하는 것을 악용할 수 있는 취약점 3개 발견 이 중 2개는 SSRF Server-Side Request Forgery 다른 1개는 API Management 개발자 포럼의 무제한 파일 업로드 기능 인스턴스 부분 SSRF 취약점을 성공적으로 악용하게 되면 공격자는  서비스의 CORS 프록시나 호스팅 프록시 자체에서 요청을 발송 내부 Azure 자산에 접속 가능 DoS 공격 가능 웹 애플리케이션 방화벽 우회 가능 파일 업로드 경로 순회를 통해 공격자는 악의적인 파일을 MS Azure의 호스팅된 내부 워크로드에 업로드 가능 MS Azure API Management 는 조직이 API를 외부나 내부 고객에게 안전하게 노출하고 광범위하게 연결된 경험을 가능하게 하는 다중 클라우드 관리 플랫폼 SSRF 취약점 중 하나 올해 초 타 회사에서 유사한 취약점을 해결하기 위해 MS 가 시행한 수정사항을 우회 다른 취약점은 API Management 프록시 기능에 존재 SSRF 취약점을 악용하면 기밀성과 무결성이 손상 공격자가 내부 Azure 리소스 읽기 가능 승인되지 않은 코드 실행 가능 API Management 개발자 포럼에서 발견된 경로 순회 취약점은 업로드된 파일의 파일 형식이나 경로에 대한 유효성 검사가 부족해서 발생 인증된 사용자는 이 허점을 이용하여 악성 파일을 개발자 포털 서버에 업로드 가능 잠재적으로 기본 시스템에서 임의 코드 실행 가능 해당 정보 공개 전 MS Azure 는 발표된 세가지 취약점 패치 완료

0xNews - 인터넷 라우팅 프로토콜 소프트웨어에서 새로운 BGP 취약점 발견 ForeScout 발표 https://www.forescout.com/blog/three-new-bgp-message-parsing-vulnerabilities-disclosed-in-frrouting-software/ 취약한 BGP피어에서 DoS 조건 달성 후 무기화까지 가능한 BGP Border Gateway Protocol 의 소프트웨어 구현에서 취약점 발견 취약점은 총 3개로 Linux나 Unix 플랫폼으로 널리 사용되는 오픈소스 인터넷 라우팅 프로토콜 제품군인 FRRouting 의 v8.4 에 존재 또한 NVidia Cumulus, DENT, SONIC 와 같은 여러 공급업체에서 사용 중이여서 추가적인 위협 가능성 존재 Forescout Vedere Labs 에서 FRRouting BIRD, OpenBGPd, Mikrotik RouterOS, Juniper JunOS, Cisco IOS, Arista EOS 등 총 7가지 BGP 구현을 분석한 결과 BGP는 자율 시스템간 라우팅 및 도달 가능성 정보를 교환하도록 설계된 게이트웨이 프로토콜 인터넷 트래픽을 전달하기 위한 가장 효율적인 경로를 찾는데 사용 CVE-2022-40302 CVSS 6.5 확장된 선택적 매개변수 길이 옵션을 사용 잘못된 형식의 BGP OPEN 메시지를 처리할 때 범위를 벗어나서 읽기 실행 CVE-2022-40318 CVSS 6.5 확장된 선택적 매개변수 길이 옵션을 사용 잘못된 형식의 BGP OPEN 메시지를 처리할 때 범위를 벗어나서 읽기 실행 CVE-2022-40302 와는 다른 문제 CVE-2022-43681 옵션 길이 옥텟으로 갑자기 끝나는 잘못된 형식의 BGP OPEN 메시지를 처리할 때 범위를 벗어나서 읽기 실행 공격자가 취약한 BGP 피어에서 DoS조건을 달성하기 위해 악용될 수 있음 이에 모든 BGP세션과 라우팅 테이블이 삭제되고 피어가 응답하지 않게 됨 DoS상태는 기형 패킷을 반복적으

0xNews - LNK 파일 감염 체인을 통해 악성코드 배포하는 북한 사이버 공격 그룹 발견 Checkpoint 발표 https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link/ ScarCruft 로 알려진 북한 사이버 공격 그룹은 2022년 7월부터 RokRAT 맬웨어의 전달 경로로 초대형 LNK 파일을 테스트하기 시작 같은 달 MS에서는 기본적으로 오피스 문서에서 매크로를 차단하기 시작 RokRAT는 수년 동안 크게 변경되지 않았지만 배포 방법이 발전 이제는 다단게 감염 체인을 시작하는 LNK파일이 포함된 아카이브를 활용 APT와 사이버 범죄자가 모두 신뢰할 수 없는 소스의 매크로 차단을 극복하려고 시도하는 위협 환경의 주요 추세를 나타내는 또 다른 방식 ScarCruft 는 기존에 APT37, InkySquid, Nickel Foxcroft, Reaper, RedEys 등으로 알려짐 다양한 맞춤형 도구를 제공하도록 설계된 스피어 피싱 공격의 일부 한국 내 개인이나 단체를 대상으로 공격하는 위협 그룹 기존 북한의 Lazarus Group, Kimsuky 와 달리 적대적인 집단은 국내 방첩 활동과 해외 방법 활동을 담당하는 북한 국가안전보위부 MSS Ministry of State Security 의 감독을 받음 이 그룹이 사용하는 주요 악성코드로는 RokRAT 로 DOGCALL 로도 불리며 macOS(CloudMensis)나 안드로이드(RambleOn)와 같은 다른 플랫폼에 적용되어 백도어가 활발하게 개발되고 유지되고 있음을 확인 RokRAT 나 그 변종은 자격 증명 도용, 데이터 유출, 스크린샷 캡처, 시스템 정보 수집, 명령어 실행, 쉘 코드 실행, 파일이나 디렉토리 접근과 같은 광범위한 활동 수행 가능 이렇게 수집된 정보 중 일부는 트랙을 덮기 위해 MP3파일 형식으로 저장 C2 Command-and-Control 로 위장하기 위해 Dropbox, MS OneDrive, pClou

0xNews - 기업 네트워크를 노리는 Decoy Dog 라 불리는 맬웨어 툴킷 발견 Infoblox 발표 https://blogs.infoblox.com/cyber-threat-intelligence/cyber-threat-advisory/dog-hunt-finding-decoy-dog-toolkit-via-anomalous-dns-traffic/ 700억개가 넘는 DNS레코드를 분석한 결과 엔터프라이즈 네트워크를 대상으로 하는, Decoy Dog 라고 불리는 정교한 맬웨어 툴킷 발견 Decoy Dog 의 이름에서 알 수 있듯이 적발하기 쉽지 않고 전략적 도메인 에이징 strategic domain aging 이나 DNS 쿼리 드리블링 DNS query dribbling 과 같은 기술 사용 일련의 쿼리는 C2 Command-and-Control 도메인으로 전송되도 의심되지 않음 DNS수준에서 도메인을 검사할 때 고유하게 식별할 수 있도록 하는 매우 특이한 여러 특성을 가진 응집력 있는 툴킷으로 확인 2023년 4월 초 비정상적인 DNS비커닝 활동 이후 악성코드를 식별한 사이버 보안회사는 이 악성코드의 비정형 특성으로 인해 공격 인프라의 일부인 추가 도메인을 맵핑할 수 있음을 확인 이는 캘리포니아에 본사를 둔 회사에 따르면 이미 활동 중으로 판단되는 Decoy Dog의 사용은 매우 드물다라는 DNS서명은 인터넷에 있는 3억 7천만개의 활성 도메인 중 0.0000027% 미만과 일치 Decoy Dog 툴킷의 주요 구성 요소 중 하나는 DNS터널링 이 방법을 통해 전달되는 오픈소스 트로이 목마인 Pupy RAT 여기서 DNS쿼리와 응답은 은밀하게 페이로드를 삭제하기 위한 C2로 사용 교차 플랫폼 Pupy RAT의 사용이 과거 중국의 지원을 받은 사이버 단체와 연결되었다는 점은 주목할만한 가치가 있지만 이번 캠페인에 관여했다는 증거는 없음 Decoy Dog에 대한 추가 조사에 따르면 캠페인은 최소 1년 전 설정되어 활동 현재까지 세가지 고유한 인프라 구성이 감지 다