포스팅 내용

국내외 보안동향

정교한 사이버 스파이, 라우터 해킹을 통해 중동 및 아프리카를 감염시키려 해

Sophisticated Cyberspies Target Middle East, Africa via Routers


연구원들에 따르면, 해당 APT 조직은 2012년 부터 활동했으며, 가장 최근에는 올해 2월 공격을 진행하였습니다. 


연구원들은, 해당 조직은 Slingshot 악성코드를 통해 사용자들을 감염시켰으며, 약 100명이 넘는 피해자들이 발생하였습니다. 대부분의 피해자들은 케냐, 예멘 이였으니, 아프간, 리비아, 콩고,요르단, 터키, 이라크, 술탄, 소말리아 및 탄자니아 등도 피해를 입었습니다.  이 공격은 주로 개인을 타겟으로 진행되었지만, 일부 공격은 정부기관 및 체인 커피숍을 타겟으로 하고있었습니다. 


Slingshot은 내부의 문자열에서 명명되었으며, 라우터 특히 Mirkrotik에서 제조한 라우터들이 많이 감염되었다. 


현재까지 라우터들이 어떻게 공격을 받았는지 밝혀지지는 않았지만, 위키리크스에 공개된 Vault7 문서 중 포함되어 있든 Mikrotik 코드를 이용하였을 것으로 추정하고 있습니다. Mikrotik은 해당 취약점을 이미 패치하였다고 밝혔지만, 현재까지 공격자가 사용한 초기벡터가 무엇인지는 밝혀지지 않았습니다. 


해커들은 라우터 접근권한을 획득한 후 Mikrotik 회사가 제공하는 정상적인 관리툴인 WinBox를 이용하여 라우터에 DLL을 내려받고, 해당 DLL을 PC 메모리에 바로 로드시켰습니다. 


이 기능을 이용하여 Slingshot 해커들은 악성코드를 목표 라우터의 관리자쪽으로 전송시킬 수 있었습니다. 


Slingshot은 본질적으로 첫번째 로더입니다. 동일한 버전의 악성 프로그램을 Windows의 정상 DLL 파일과 바꿔치기 합니다. 악성 DLL 파일은 Services.exe 프로세스에 의해 로드되며, 시스템 권한을 갖게됩니다. 


Slingshot이 다운로드 한 주요 모듈은 Cahnadr과 GollumApp 입니다. 


Cahnadr은 "Ndriver"라고도 불리며, 이는 커널모드의 payload 이며, 사용자 모드에서 모듈이 요구하는 모든 기능, 즉 안티비거깅, 백도어 인젝션등의 다양한 기능을 제공합니다. 


GollumApp은 주요 사용자 모드의 모듈로, 다른 사용자 모드 모듈을 관리하며 끊임없이 Cahnadr과 통신합니다. 여기에는 모니터링 기능이 포함되어 있고, 공격자로 하여금  키로깅 기능, 시스템 및 네트워크 패킷 탈취, 클립보드 컨트롤 등 다양한 악성행위를 할 수 있도록 허용합니다. 


이 프로그램은 커널모드에서 동작할 수 있기 때문에, 이 악성코드는 공격자가 완전히 사용자의 디바이스를 장악할 수 있도록 도와줍니다. 


Slingshot은 시스템 서비스를 직접 호출하여 보안 제품을 우회하고, 모듈에서 문자열을 암호화하며, 보안 제품을 기반으로 프로세스를 선택적으로 주입하는 등 몇 가지 방법으로 보안제품 우회를 시도합니다. 


Slingshot은 또한 C&C 서버통신 방면에서 몇몇 기술을 사용하여 합법적인 통신 프로토콜에서 트래픽을 숨기고 특수 태그가 들어있는 패킷을 주시합니다.





참고 :

https://www.securityweek.com/sophisticated-cyberspies-target-middle-east-africa-routers




티스토리 방명록 작성
name password homepage