상세 컨텐츠

본문 제목

MosaicRegressor: 실제 공격에 사용된 두 번째 UEFI 루트킷

국내외 보안동향

by 알약4 2020. 10. 6. 09:25

본문

MosaicRegressor: Second-ever UEFI rootkit found in the wild

 

실제 공격에 사용된 UEFI 루트킷이 두 번째로 발견되었습니다. 보안 연구원들은 2019년부터 NGO조직 2곳에 대한 공격을 조사하던 중 이를 발견했습니다.

 

UEFI(Unified Extensible Firmware Interface) 펌웨어는 컴퓨터의 마더보드에 납땜된 SPI 플래시 스토리지에 설치되기 때문에 OS를 재설치하거나 하드드라이브를 교체해도 제거할 수 없습니다. 따라서 악성코드는 높은 지속성을 얻을 수 있게 됩니다.

 

카스퍼스키 연구원인 Mark LechtikIgor Kuznetsov는 이 UEFI 부트킷을 발견 후 MosaicRegressor라 명명했습니다. 이는 모듈형 다단계 악성코드 프레임워크로 중국어를 구사하는 해커가 데이터 탈취 및 스파잉 활동에 사용했습니다.

 

실제 공격에 사용된 알려진 UEFI 부트킷은 2018ESET이 발견한 루트킷인 LoJax 뿐입니다.

 

러시아어를 구사하는 APT28 해커 그룹은 패치된 UEFI 모듈의 형태로 LoJax를 정식 LoJack 도난 방지 소프트웨어에 주입했습니다.

 

MosaicRegressor UEFI 루트킷

 

공격자는 이 악성 UEFI 펌웨어 이미지에 타깃 기기에 악성코드를 배포하는 악성 모듈 다수를 주입하여 변조합니다.

 

MosaicRegressor는 여러 다운로더와 중개 로더를 포함하고 있습니다. 이들의 최종 목표는 타깃 기기에서 악성 페이로드를 다운로드 및 실행하는 것입니다.

 

카스퍼스키는 이에 대해 아래와 같이 언급했습니다.

 

프레임워크가 여러 모듈로 구성되어 있다는 것은, 연구원들이 더 넓은 프레임워크를 분석할 수 없도록 숨기고 요청이 있을 때에만 타깃 기기에 컴포넌트를 배포하기 위한 것으로 보입니다.”

 

실제로 우리가 조사를 진행하던 중 소수의 페이로드 컴포넌트만 찾을 수 있었습니다.”

 

카스퍼스키는 제한된 악성코드 프레임워크만 찾을 수 있었다고 밝혔습니다. 이 중 최소 하나는 최근 문서 폴더의 내용을 탈취, 보관, 유출하는 BitsRegEx 부트킷 변종에 사용되었습니다.

 

UEFI 루트킷은 2015년 유출된 Hacking TeamVectorEDK 부트킷의 커스텀 버전으로, 이를 통해 MosaicRegressor 개발자가 시간을 절약하고 노출 위험을 줄일 수 있었던 것으로 보입니다.

 

 

<BitsRegEx 변종>

<이미지 출처: https://securelist.com/mosaicregressor/98849/>

 

 

타깃 및 악성코드 배포 방법

 

2017~2019년 사이 아프리카, 아시아, 유럽의 NGO 및 외교 기관을 포함한 조직 수십 곳의 컴퓨터에서 여러 MosaicRegressor 컴포넌트가 발견되었습니다.

 

발견된 피해자들이 속한 곳은 모두 북한과 관계가 있었습니다.”

 

일부 피해자에게 악성코드를 배포한 감염 경로 중 하나에서는 북한과 관련된 다양한 주제를 논의하는 문서로 위장한 SFX 아카이브가 사용되었습니다.”

 

안타깝게도 공격자가 원본 UEFI 펌웨어를 덮어쓰기 하도록 허용하는 정확한 감염 벡터를 확인하는 것은 불가능했습니다. 탐지 로그에 따르면, 펌웨어 자체는 악성인 것으로 나타나지만 어떠한 의심스러운 이벤트도 발견되지 않았습니다.”

 

카스퍼스키가 설명한 한 가지 가능성은 악성코드를 주입하기 위해 해킹된 컴퓨터에 물리적으로 접근해 타깃 기기를 USB 플래시 드라이브를 통해 부팅하여 전용 업데이트 툴을 사용했다는 것입니다.

 

또 다른 방법은 BIOS 취약점을 악용한 후 BIOS 업데이트 인증 프로세스를 해킹한 후 부트킷을 원격으로 배포하는 것입니다.

 

다단계 모듈형 MosaicRegressor UEFI 부트킷에 대한 기술적 세부 정보가 포함된 카스퍼스키의 전체 보고서는 에서 확인하실 수 있습니다.

 

현재 알약에서는 해당 악성코드 샘플을 ’Trojan.Crypt.HI’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/mosaicregressor-second-ever-uefi-rootkit-found-in-the-wild/

https://securelist.com/mosaicregressor/98849/

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2020/10/05094208/MosaicRegressor_Technical-details.pdf


관련글 더보기

댓글 영역