상세 컨텐츠

본문 제목

가짜 마이크로소프트 팀즈 업데이트, Cobalt Strike로 이어져

국내외 보안동향

by 알약4 2020. 11. 10. 14:00

본문

Fake Microsoft Teams updates lead to Cobalt Strike deployment

 

랜섬웨어 운영자들이 시스템을 Cobalt Strike를 배포하는 백도어에 감염시키는 가짜 마이크로소프트 팀즈 업데이트 악성 광고를 사용하고 있는 것으로 나타났습니다.

 

이 공격은 다양한 업계의 조직을 노리며, 최근에는 코로나19로 인해 화상 회의 솔루션을 사용하는 교육 부문(K-12)을 집중하여 공격했습니다.

 

인포스틸러에서 Cobalt Strike까지

 

Bleeping Computer에서 확인한 비공개 보안 권고에 따르면, 마이크로소프트는 고객들에게 이 가짜 업데이트(FakeUpdates) 캠페인에 대해 경고하며 Defender ATP 서비스를 통해 공격이 끼치는 영향을 줄일 수 있는 방법을 제안했습니다.

 

FakeUpdates 공격은 2019DoppelPaymer 랜섬웨어를 확산시킨 적이 있습니다. 하지만 올해는 WastedLocker를 드롭하기 시작했으며 더욱 진화된 기술을 보여주었습니다.

 

예를 들면 이들은 서명된 바이너리와 다양한 2단계 페이로드를 사용하기 시작했습니다.

 

더욱 최근에는 치명적인 Zerologon (CVE-2020-1472) 취약점을 악용하기 시작했습니다.

 

공격자는 검색 엔진의 검색 결과를 감염시키거나 악성 온라인 광고를 이용해 주의가 부족한 사용자가 클릭해 업데이트를 설치하도록 유도하는 악성 가짜 광고를 심었습니다.

 

마이크로소프트가 탐지한 공격 중 최소 하나 이상에서 공격자는 검색 엔진 광고를 구매해 팀즈 소프트웨어를 검색할 경우 자신이 제어하는 도메인이 노출되도록 했습니다.

 

해당 링크를 클릭하면 더 많은 악성 페이로드를 받아오는 PowerShell 스크립트를 실행합니다. 또한 사용자의 의심을 피하기 위해 정식 마이크로소프트 팀즈를 시스템에 설치합니다.

 

마이크로소프트는 초기 페이로드는 대부분의 경우 Predator the Thief 인포스틸러였다고 밝혔습니다. 이는 자격 증명, 브라우저, 결제 데이터 등 민감 정보를 수집하여 공격자에게 전송합니다.

 

이러한 방식으로 배포된 다른 악성코드는 Bladabindi(NJRat) 백도어와 ZLoader 스틸러입니다.

 

이 악성코드는 Cobalt Strike 비콘을 포함한 다른 페이로드도 다운로드 했습니다. 이를 통해 공격자는 어떻게 네트워크에서 이동할 지 계획을 세울 수 있었습니다.

 

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/fake-microsoft-teams-updates-lead-to-cobalt-strike-deployment/>

 

 

관찰된 여러 공격 중 마지막 단계는 네트워크 컴퓨터에서 랜섬웨어를 실행하는 것입니다.

 

마이크로소프트는 해당 공격과 동일한 패턴을 사용자 최소 6명에게서 관찰했다고 밝혔습니다. 이를 통해 6명에게 발생한 공격 모두 동일한 범인의 소행으로 추측할 수 있습니다.

 

공격 완화법

 

마이크로소프트는 악성 웹사이트를 필터링 및 차단할 수 있는 웹 브라우저를 사용하고 강력한 랜덤 문자열의 비밀번호를 사용할 것을 권장했습니다.

 

또한 관리 권한을 꼭 필요한 사용자에게만 부여하고 관리자와 동일한 권한을 가진 서비스 계정을 만들지 않을 것도 당부했습니다.

 

또한 공격에 노출되는 부분을 최소화하기 위해서는 특정 기준을 충족하지 않거나 정기적으로 관리되는 신뢰 리스트에 포함되지 않는 실행 파일을 차단할 것을 추천했습니다.

 

JavaScriptVBScript 코드를 다운로드하지 못하도록 차단하는 것 또한 공격을 방어하는데 도움이 됩니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/fake-microsoft-teams-updates-lead-to-cobalt-strike-deployment/


관련글 더보기

댓글 영역