포스팅 내용

국내외 보안동향

njRAT 및 ERIS를 확산시키는 새로운 Lord 익스플로잇 키트 발견돼

New Lord Exploit Kit Pushes njRAT and ERIS Ransomware


이달 초 Lord EK(Exploit kit)라는 웹 기반 공격을 위한 새로운 익스플로잇 키트가 발견되었습니다. 


이 익스플로잇 키트는 PopCash 광고 네트워크를 사용하는 악성 광고 체인의 일부였습니다.


이 공격은 어도비 Flash에 존재하는 use-after-free 취약점을 악용하며, NAT 및 방화벽 뒤에 위치한 인터넷 로컬 서버와 안전한 연결을 설정할 수 있는 Ngrok 서비스를 사용합니다.



아직 개발 단계인 Lord 익스플로잇 키트


Virus Bulletin의 연구원이 발견한 해당 익스플로잇 키트는 현재 개발 단계인 것으로 보이며, 랜딩 페이지에 포함된 태그를 참고하여 Lord EK라고 이름 붙였습니다.



<이미지 출처: https://twitter.com/adrian__luca/status/1156934215566536705?s=20>



이 키트의 초기 페이로드는 2012년 11월 초기 변종이 발견된 오래된 원격 접근 트로이목마인 njRAT이며, 비즈니스 이메일 해킹 공격(BEC)을 실행하는 나이지리아 공격자들이 주로 사용한 공격 형태입니다.


연구원은 Lord EK가 기존의 공격 형태에서 ERIS 랜섬웨어 2.0.3 버전의 페이로드를 사용하는 것을 발견했습니다. 


ERIS 랜섬웨어는 과거에 RIG와 Azera와 같은 다른 익스플로잇 키트들을 통해 확산되었던 사례가 있습니다.


Malwarebytes의 연구에 따르면, 이 키트는 랜딩 페이지 리디렉트를 위해 손상된 웹사이트를 사용하며, PopCash 광고 네트워크를 사용하는 악성 광고의 일부입니다.


이 익스플로잇은 Flash Player의 존재 유무 및 버전을 확인하는 기능을 통해 푸시됩니다. 


랜딩 페이지의 코드에는 피해자의 호스트 기기의 지리적 광고 위치(ad geo-location) 속성에서 사용하는 Flash 버전에 대한 정보를 수집합니다.


이 취약점은 과거에 러시아 FSBI "Polyclinic #2" 의료 클리닉을 노린 APT 공격에 사용되었습니다. 


어도비는 2018년 12월 해당 공격에 사용된 제로데이 취약점을 패치했으나, 이 익스플로잇은 Spelevo를 포함한 다양한 익스플로잇 키트에서 사용되고 있습니다.


Lord EK는 피해자를 구글 홈페이지로 이동시키는데, 전문가는 이러한 행동이 Spelevo 익스플로잇 키트에서도 관찰되었다고 밝혔습니다.


2020년 말 Flash가 지원 종료될 예정이기 때문에, 어도비 Flash 취약점을 악용하는 익스플로잇 키트는 곧 사라질 것입니다.


하지만 Lord EK의 제작자는 적극적으로 이 익스플로잇 키트를 수정하고 있는 것으로 나타났습니다.


전문가들은 이 취약점이 IE 및 Flash Player 용이며 이미 해당 취약점이 패치되어 해킹 시장 점유율이 매우 적지만, 해당 취약점을 업데이트하지 않은 마이크로소프트 브라우저를 여전히 많은 국가에서 사용하고 있다고 경고했습니다.


현재 알약에서는 해당 취약점에 대해 'Trojan.MSIL.Bladabindi, Trojan.Ransom.ERIS'으로 탐지중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/new-lord-exploit-kit-pushes-njrat-and-eris-ransomware/

https://blog.malwarebytes.com/threat-analysis/2019/08/say-hello-to-lord-exploit-kit/

티스토리 방명록 작성
name password homepage