상세 컨텐츠

본문 제목

고용형 해커, 3DS MAX 익스플로잇 악용해 건축 사무소 노려

국내외 보안동향

by 알약4 2020. 8. 27. 09:00

본문

Hackers for hire attack architecture firm via 3ds Max exploit

 

고급 해킹 서비스를 제공하는 해커 그룹이 수십 억 달러 규모의 고급 부동산 프로젝트에 참여하는 건축 사무소의 컴퓨터를 해킹한 것으로 나타났습니다.

 

이 그룹은 스파이 활동을 수행하며, 공격 벡터는 전문 3D 컴퓨터 그래픽을 만드는데 사용하는 Autodesk 3ds Max 소프트웨어용 악성 플러그인입니다.

 

타깃 선택

 

Bitdefender에 따르면 익명의 피해자는 미국, 영국, 호주, 오만의 고급 부동산 개발자와 함께 일하며 최고의 건축가 및 인테리어 디자이너들의 서비스를 계약하는 중요 업체인 것으로 나타났습니다.

 

공격자는 이 작업을 위해 한국에 위치하는 C&C 인프라를 사용했습니다. 이 인프라에는 여러 국가의(미국, 한국, 일본, 남아프리카 공화국) 악성코드 샘플로부터 발생한 트래픽이 기록되어 있어 이 국가에도 피해자를 물색 중이라는 사실을 짐작할 수 있었습니다.

 

보안 연구원이 발견한 증거 확인 결과, 내부 금융 정보 및 가치가 높은 계약에 대한 협상 내용을 노리는 다양한 고객에 수준 높은 해킹 서비스를 제공하는 해킹 그룹이 범인인 것으로 추측됩니다.

 

이 공격은 APT 공격과 같이 매우 정교합니다. 회사의 보안 시스템에 대해 사전에 파악했으며, 소프트웨어 애플리케이션을 사용했으며 탐지되지 않은 채 회사에 침투하여 데이터를 유출하기 위한 세심한 공격 계획을 수립했습니다.”

 

신중한 작전

 

이 경우, 공격 벡터는 Autodesk 3ds Max 버전 다수에 존재하며 윈도우 시스템에서 코드 실행을 허용하는 취약점이었습니다.

 

이달 초, AutodeskMAXScript 스크립팅 유틸리티의 익스플로잇인 악성 플러그인 “PhysXPluginMfx”에 대해 경고했습니다. 이 플러그인이 3ds Max에 로드되면 다른 MAX 파일을 감염시켜 네트워크 내 다른 사용자에게 확산될 수 있습니다.

 


<이미지 출처: https://www.bitdefender.com/files/News/CaseStudies/study/365/Bitdefender-PR-Whitepaper-APTHackers-creat4740-en-EN-GenericUse.pdf>

 

 

금전적 이득을 노리는 다른 사업 범죄 그룹과 달리, 이 공격자는 해킹된 호스트에 대한 세부 정보(컴퓨터 이름, 사용자 이름)를 수집하고 민감 정보를 훔치는 악성코드를 사용했습니다.

 

이 공격자는 스크린샷을 캡처하고 구글 크롬에서 비밀번호와 히스토리 데이터를 유출하는 것 이외에도 특정 확장자를 훔치는 악성코드 또한 가지고 있었습니다.

 

Bitdefender 연구원은 공격자가 탈취를 위한 파일 목록을 포함시키기 위해 각 피해자 별로 파일 탈취 컴포넌트를 컴파일한 것으로 추측했습니다.

 

발자취는 최소한으로 유지해

 

공격자는 탐지를 피하기 위해 작업 관리자 또는 성능 모니터가 실행 중인 경우 악성 바이너리를 휴면 상태로 만드는 흥미로운 트릭을 사용했습니다.

 

이 두 애플리케이션의 창 영역이 얼마나 표시 되었는지에 따라 악성코드를 휴면 상태로 설정하도록 하는 플래그가 설정되었습니다. 따라서 CPU 사용량을 줄여 전원 소모 프로세스 목록 상 아래에 배치되도록 했습니다.

 

또한 일부 파일만 압축되었습니다. 이 작전에서 불필요해 보이는 데이터는 무시되었습니다.

 

Bitdefender의 보고서에 따르면 원격 데이터 확인 결과 한 달 전 한국에서 유사한 악성코드 샘플이 동일한 C2에 연결한 것으로 나타났습니다.

 

이 사건을 다른 작전과 연결하는데는 도움이 될 수 있지만, 이 지점이 그룹 활동의 시작은 아닐 것입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hackers-for-hire-attack-architecture-firm-via-3ds-max-exploit/

https://labs.bitdefender.com/2020/08/apt-hackers-for-hire-used-for-industrial-espionage/

저작자표시

'국내외 보안동향' 카테고리의 다른 글

새로운 정보 탈취 악성코드 아누비스, 실제 공격 통해 배포돼  (0) 2020.08.28
DeathStalker 사이버 용병 그룹, 금융 부문 노려  (0) 2020.08.27
Apache 웹 서버 취약점 3개 발견  (0) 2020.08.26
보안 연구원, 애플 패치 지연으로 사파리 취약점 직접 공개해  (0) 2020.08.26
구글 크롬, 85 버전에서 WebGL 코드 실행 취약점 수정  (0) 2020.08.25

관련글 더보기

댓글 영역

티스토리툴바