브라우저 취약점을 악용해 새로운 백도어를 설치하는 악성코드 발견

Browser Bugs Exploited to Install 2 New Backdoors on Targeted Computers

 

<이미지 출처: https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-earth-kitsune-tracking-slub-s-current-operations>

 

 

사이버 보안 연구원들이 새로운 워터링 홀 공격에 대한 자세한 내용을 공개했습니다.

 

이 공격은 주로 해외에 거주하는 한인들을 노리며 구글 크롬, IE 등 웹 브라우저의 취약점을 악용하여 스파잉 악성코드를 배포합니다.

 

Trend Micro에서 "Operation Earth Kitsune"라 명명한 이 캠페인은 시스템 정보를 추출하고 해킹한 기기의 추가 권한을 얻어내기 위해 SLUB(Slack과 githUB) 악성코드와 새로운 백도어인 dneSpy와 agfSpy를 사용합니다.

 

연구원들은 공격을 3, 5, 9월에 목격했다고 밝혔습니다.

 

공격자는 워터링 홀 공격을 통해 선택한 웹사이트에 익스플로잇을 주입해 타깃 기업을 해킹할 수 있습니다.

 

Operation Earth Kitsune는 북한 관련 웹사이트에 스파이웨어 샘플을 배포 한 것으로 알려졌지만 한국 IP 주소에서는 해당 사이트에 대한 접근이 차단됩니다.

 

다각적인 캠페인

 

SLUB과 관련된 이전 공격에서는 GitHub 저장소 플랫폼을 통해 악성코드 스니펫을 윈도우 시스템에 다운로드하고, 실행 결과를 공격자가 제어하는 개인 Slack 채널에 게시하는 방법을 사용했습니다.

 

하지만 최신 변종은 Slack과 유사한 오픈소스 협업 메시징 시스템인 Mattermost를 사용했습니다.

 

트렌드 마이크로는 아래와 같이 밝혔습니다.

 

“이 캠페인은 매우 다각화되어 있습니다. 피해자 기기에 수 많은 샘플을 배포하고, 작전 중 명령 및 제어 서버 다수를 사용합니다.”

 

“이 캠페인은 C2 서버 5개, 샘플 7개, N-day 취약점용 익스플로잇 4개를 사용하고 있었습니다.”

<이미지 출처: https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-earth-kitsune-tracking-slub-s-current-operations>

 

 

이 공격은 탐지를 방해하기 위해 보안 소프트웨어가 설치된 시스템을 건너 뛰도록 설계되었으며, 이미 패치된 크롬 취약점 (CVE-2019-5782)을 사용합니다.

 

이 취약점은 공격자가 특수 제작한 HTML 페이지를 통해 샌드박스 안에서 임의 코드를 실행하도록 허용합니다.

 

IE의 취약점 하나 (CVE-2020-0674) 또한 해킹된 웹사이트를 통해 악성코드를 전달하는데 사용되었습니다.

 

dneSpy, agfSpy – 모든 기능을 갖춘 스파이용 백도어

 

감염 벡터의 차이에도 불구하고, 이 익스플로잇 체인은 아래의 동일한 단계를 거칩니다.

 

이는 C2 서버와의 연결을 시작하고, 드롭퍼를 내려받고, “.jpg” 형태인 백도어 샘플 3개를 다운로드 및 실행하기 전 타깃 시스템에 안티 바이러스 솔루션이 설치되어 있는지 확인합니다.

 

이번에 변경된 부분은 감염된 호스트에서 수집된 정보를 가져오기 위해 각 기기에 대한 개인 채널을 생성하는 것, 감염된 기기 다수에 대한 배포를 추적하기 위해 Mattermost 서버를 사용하는 것입니다.

 

다른 두 백도어 중 dneSpy는 시스템 정보 수집, 스크린샷 촬영, C2 서버에서 악성 명령 다운로드 및 실행과 같은 작업을 수행하도록 설계되었으며, 그 결과는 압축 및 암호화되어 서버로 전송됩니다.

 

Trend Micro의 연구원은 아래와 같이 언급했습니다.

 

“dneSpy의 설계 중 흥미로운 부분 중 하나는 C2 피벗 동작입니다.”

 

“중앙 C2 서버의 응답은 dneSpy가 다음 단계 명령을 수신하기 위해 연결해야 하는 다음 단계 C2 서버의 도메인/IP입니다.”

 

agfSpy는 셸 명령을 가져오고 실행 결과를 다시 전송하는데 사용하는 자체 C2 서버 메커니즘을 포함하고 있습니다.

 

주요 기능은 디렉토리 열거, 파일 나열/다운로드/실행입니다.

 

"Operation Earth Kitsune는 다양한 컴포넌트를 사용하고 이들이 서로 상호작용 한다는 점에서 매우 복잡하고 다각적인 것으로 판단됩니다.”

 

“이 캠페인이 보안 제품의 탐지를 피하기 위해 새로운 샘플을 사용하는 것 또한 주목할 점입니다.”

 

“크롬 익스플로잇 셸코드에서 agfSpy에 이르기까지 작업에 사용된 요소는 커스텀 코딩이 되어있었습니다. 이로써 이 작전의 배후에 그룹이 있음을 알 수 있습니다. 이 그룹은 올해 들어 매우 활발히 활동하는 것으로 보이며, 당분간은 지금과 같은 방식으로 지속적으로 활동할 것으로 보입니다.”

 

현재 알약에서는 해당 악성코드 샘플을 'Trojan.Dropper.Sysn'으로 탐지 중입니다. 

 

 

출처:

https://thehackernews.com/2020/10/browser-exploit-backdoor.html

https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/operation-earth-kitsune-tracking-slub-s-current-operations