포스팅 내용

국내외 보안동향

Underminer 익스플로잇 키트, Bootkit과 CoinMiner 배포 중

New Underminer Exploit Kit Discovered Pushing Bootkits and CoinMiners


주로 아시아 국가에서 활동하며 부트키트와 가상화폐 마이닝 악성코드(CoinMiner)를 확산시키는 새로운 익스플로잇 키트가 발견되었습니다. 이 새로운 익스플로잇 키트(EK)는 Underminer라 명명 되었습니다.


보안 회사인 Trend Micro는 올해 7월 17일 이 익스플로잇 키트의 첫 번째 단서를 발견했다고 밝혔습니다. 하지만 중국의 보안업체인 Qihoo 360은 이미 2017년 말 이 익스플로잇 키트의 활동 징후를 발견한 적이 있습니다. 


이 EK는 다른 국가로 확산 되기 전 몇 달 동안 소규모로만 운영 된 것으로 보입니다.


Trend Micro에 따르면, Underminer로 유입 되는 대부분의 웹 트래픽은 일본(70%)이었으며, 대만(10%), 한국(6%) 및 기타 국가가 그 뒤를 이었습니다.



소수의 익스플로잇만을 사용하는 익스플로잇 키트


이 익스플로잇 키트는 사용자를 악성코드에 감염시키기 위해 사용하는 익스플로잇의 수가 매우 적기 때문에, 기술적인 측면으로 볼 때 이 익스플로잇 키트의 규모는 작다고 말할 수 있겠습니다.


연구원들이 발견한 Underminer 익스플로잇 킷이 사용하는 익스플로잇은 아래의 단 3가지였습니다.


- CVE-2015-5119 : 2015년 7월 패치 된 Adobe Flash Player의 use-after-free 취약점

- CVE-2016-0189 : 2016년 5월 패치 된 인터넷 익스플로러의 메모리 손상 취약점

- CVE-2018-4878 : 2018년 2월 패치 된 Adobe Flash Player의 use-after-free 취약점


이 취약점들은 다른 EK에서도 사용 된 적이 있습니다. 따라서 이 EK의 제작자들은 그들의 작업 수행을 위해 다른 EK를 베낀 것으로 추측 됩니다.



UnderMiner, Hidden Bee 악성코드를 배포하는 것으로 나타나


이 EK가 최근 캠페인에서 사용한 악성코드 전달 매커니즘은 암호화 된 TCP 채널을 사용해 부트킷을 OS 지속성을 갖도록 먼저 배포하고 이후에 코인 마이너를 설치하는 것입니다.


Trend Micro는 이 코인 마이너를 “Hidden Mellifera”라 명명했으며, Malwarebytes는 이를 중국 infosec이 분석 시 사용한 것과 동일한 이름인 “Hidden Bee”라 불렀습니다.


지난 2~3년 간 익스플로잇 키트는 하락세를 보여왔으며, 일반적으로 OS와 브라우저를 최신버전으로 유지하기만 하면 감염을 막을 수 있습니다.


새로운 익스플로잇들이 발견 되고 있지만, 이는 대부분 수명이 짧기 때문입니다. 뿐만 아니라 대부분의 브라우저들이 해킹하기 더욱 힘들어 지고 있으며, Flash 사용은 점차 감소하고 있기 때문입니다.





출처 : 

https://www.bleepingcomputer.com/news/security/new-underminer-exploit-kit-discovered-pushing-

bootkits-and-coinminers/



티스토리 방명록 작성
name password homepage