상세 컨텐츠
본문
Sophisticated Cyberspies Target Middle East, Africa via Routers
연구원들에 따르면, 해당 APT 조직은 2012년 부터 활동했으며, 가장 최근에는 올해 2월 공격을 진행하였습니다.
연구원들은, 해당 조직은 Slingshot 악성코드를 통해 사용자들을 감염시켰으며, 약 100명이 넘는 피해자들이 발생하였습니다. 대부분의 피해자들은 케냐, 예멘 이였으니, 아프간, 리비아, 콩고,요르단, 터키, 이라크, 술탄, 소말리아 및 탄자니아 등도 피해를 입었습니다. 이 공격은 주로 개인을 타겟으로 진행되었지만, 일부 공격은 정부기관 및 체인 커피숍을 타겟으로 하고있었습니다.
Slingshot은 내부의 문자열에서 명명되었으며, 라우터 특히 Mirkrotik에서 제조한 라우터들이 많이 감염되었다.
현재까지 라우터들이 어떻게 공격을 받았는지 밝혀지지는 않았지만, 위키리크스에 공개된 Vault7 문서 중 포함되어 있든 Mikrotik 코드를 이용하였을 것으로 추정하고 있습니다. Mikrotik은 해당 취약점을 이미 패치하였다고 밝혔지만, 현재까지 공격자가 사용한 초기벡터가 무엇인지는 밝혀지지 않았습니다.
해커들은 라우터 접근권한을 획득한 후 Mikrotik 회사가 제공하는 정상적인 관리툴인 WinBox를 이용하여 라우터에 DLL을 내려받고, 해당 DLL을 PC 메모리에 바로 로드시켰습니다.
이 기능을 이용하여 Slingshot 해커들은 악성코드를 목표 라우터의 관리자쪽으로 전송시킬 수 있었습니다.
Slingshot은 본질적으로 첫번째 로더입니다. 동일한 버전의 악성 프로그램을 Windows의 정상 DLL 파일과 바꿔치기 합니다. 악성 DLL 파일은 Services.exe 프로세스에 의해 로드되며, 시스템 권한을 갖게됩니다.
Slingshot이 다운로드 한 주요 모듈은 Cahnadr과 GollumApp 입니다.
Cahnadr은 "Ndriver"라고도 불리며, 이는 커널모드의 payload 이며, 사용자 모드에서 모듈이 요구하는 모든 기능, 즉 안티비거깅, 백도어 인젝션등의 다양한 기능을 제공합니다.
GollumApp은 주요 사용자 모드의 모듈로, 다른 사용자 모드 모듈을 관리하며 끊임없이 Cahnadr과 통신합니다. 여기에는 모니터링 기능이 포함되어 있고, 공격자로 하여금 키로깅 기능, 시스템 및 네트워크 패킷 탈취, 클립보드 컨트롤 등 다양한 악성행위를 할 수 있도록 허용합니다.
이 프로그램은 커널모드에서 동작할 수 있기 때문에, 이 악성코드는 공격자가 완전히 사용자의 디바이스를 장악할 수 있도록 도와줍니다.
Slingshot은 시스템 서비스를 직접 호출하여 보안 제품을 우회하고, 모듈에서 문자열을 암호화하며, 보안 제품을 기반으로 프로세스를 선택적으로 주입하는 등 몇 가지 방법으로 보안제품 우회를 시도합니다.
Slingshot은 또한 C&C 서버통신 방면에서 몇몇 기술을 사용하여 합법적인 통신 프로토콜에서 트래픽을 숨기고 특수 태그가 들어있는 패킷을 주시합니다.
참고 :
https://www.securityweek.com/sophisticated-cyberspies-target-middle-east-africa-routers
'국내외 보안동향' 카테고리의 다른 글
| 인기있는 안드로이드 폰 5백만대에서 선 탑재 악성앱 발견 돼 (0) | 2018.03.16 |
|---|---|
| 악성코드가 포함 된 BitTorrent 소프트웨어 업데이트, PC 40만대 하이잭 해 (0) | 2018.03.15 |
| Samba 서버를 즉시 업데이트해 패스워드 리셋 및 DoS 취약점을 패치 하세요 (0) | 2018.03.14 |
| .Crab 확장자를 사용하고 일부 내용이 변경 된 GandCrab 랜섬웨어 버전 2 발견 돼 (0) | 2018.03.13 |
| 러시아 해커들, 하룻밤 사이에 ATM에서 한화로 약 11억 3천만원 훔쳐 (0) | 2018.03.12 |
댓글 영역