New Underminer Exploit Kit Discovered Pushing Bootkits and CoinMiners
주로 아시아 국가에서 활동하며 부트키트와 가상화폐 마이닝 악성코드(CoinMiner)를 확산시키는 새로운 익스플로잇 키트가 발견되었습니다. 이 새로운 익스플로잇 키트(EK)는 Underminer라 명명 되었습니다.
보안 회사인 Trend Micro는 올해 7월 17일 이 익스플로잇 키트의 첫 번째 단서를 발견했다고 밝혔습니다. 하지만 중국의 보안업체인 Qihoo 360은 이미 2017년 말 이 익스플로잇 키트의 활동 징후를 발견한 적이 있습니다.
이 EK는 다른 국가로 확산 되기 전 몇 달 동안 소규모로만 운영 된 것으로 보입니다.
Trend Micro에 따르면, Underminer로 유입 되는 대부분의 웹 트래픽은 일본(70%)이었으며, 대만(10%), 한국(6%) 및 기타 국가가 그 뒤를 이었습니다.
소수의 익스플로잇만을 사용하는 익스플로잇 키트
이 익스플로잇 키트는 사용자를 악성코드에 감염시키기 위해 사용하는 익스플로잇의 수가 매우 적기 때문에, 기술적인 측면으로 볼 때 이 익스플로잇 키트의 규모는 작다고 말할 수 있겠습니다.
연구원들이 발견한 Underminer 익스플로잇 킷이 사용하는 익스플로잇은 아래의 단 3가지였습니다.
- CVE-2015-5119 : 2015년 7월 패치 된 Adobe Flash Player의 use-after-free 취약점
- CVE-2016-0189 : 2016년 5월 패치 된 인터넷 익스플로러의 메모리 손상 취약점
- CVE-2018-4878 : 2018년 2월 패치 된 Adobe Flash Player의 use-after-free 취약점
이 취약점들은 다른 EK에서도 사용 된 적이 있습니다. 따라서 이 EK의 제작자들은 그들의 작업 수행을 위해 다른 EK를 베낀 것으로 추측 됩니다.
UnderMiner, Hidden Bee 악성코드를 배포하는 것으로 나타나
이 EK가 최근 캠페인에서 사용한 악성코드 전달 매커니즘은 암호화 된 TCP 채널을 사용해 부트킷을 OS 지속성을 갖도록 먼저 배포하고 이후에 코인 마이너를 설치하는 것입니다.
Trend Micro는 이 코인 마이너를 “Hidden Mellifera”라 명명했으며, Malwarebytes는 이를 중국 infosec이 분석 시 사용한 것과 동일한 이름인 “Hidden Bee”라 불렀습니다.
지난 2~3년 간 익스플로잇 키트는 하락세를 보여왔으며, 일반적으로 OS와 브라우저를 최신버전으로 유지하기만 하면 감염을 막을 수 있습니다.
새로운 익스플로잇들이 발견 되고 있지만, 이는 대부분 수명이 짧기 때문입니다. 뿐만 아니라 대부분의 브라우저들이 해킹하기 더욱 힘들어 지고 있으며, Flash 사용은 점차 감소하고 있기 때문입니다.
출처 :
https://www.bleepingcomputer.com/news/security/new-underminer-exploit-kit-discovered-pushing-
SamSam 랜섬웨어 운영자들, 약 $600만 달러 랜섬머니 벌어들여 (0) | 2018.08.01 |
---|---|
대규모 멀버타이징 캠페인, 일주일에 4만 건 감염 시도 해 (0) | 2018.07.31 |
NetSpectre – 네트워크를 통해 데이터를 훔치는 새로운 원격 Spectre 공격 (0) | 2018.07.30 |
거대 해운 회사인 COSCO 랜섬웨어 감염, COSCO 미국 네트워크 무력화 돼 (0) | 2018.07.30 |
새로운 버전의 Kronos 뱅킹 악성코드 발견! (0) | 2018.07.27 |
댓글 영역