중국 해커, 윈도우 제로데이 통해 방위산업체 및 IT 회사 공격

 

 

Chinese hackers use Windows zero-day to attack defense, IT firms

 

중국어를 구사하는 한 해킹 그룹이 윈도우 Win32k 커널 드라이버의 제로데이 취약점을 악용하여 새로운 원격 액세스 트로이목마(RAT)를 배포하고 있는 것으로 나타났습니다.

 

MysterySnail로 알려진 이 악성코드는 Kaspersky의 보안 연구원이 2021년 8월 말부터 9월 초 사이에 여러 마이크로소프트 서버에서 발견했습니다.

 

또한 연구원들은 마이크로소프트에서 이번 달 '패치 화요일'의 일부로 패치한 Win32k 드라이버 보안 취약점인 CVE-2021-40449을 노리는 권한 상승 익스플로잇을 발견했습니다.

 

Kaspersky의 연구원인 Boris Larin과 Costin Raiu는 아래와 같이 밝혔습니다.

 

"실제 공격에서도 제로데이 취약점이 발견되었지만, 제로데이 익스플로잇과 함께 사용된 악성코드 페이로드를 분석한 결과 이 악성코드의 변종이 IT 회사, 군사/방위 계약자, 외교 기관을 노리는 광범위한 스파잉 캠페인에서 탐지되었음을 발견했습니다. C2 인프라의 코드가 유사하고 재사용된 것으로 미루어 볼 때, 지난 2012년부터 활동해 온 중국어를 구사하는 APT 조직인 IronHusky와 이 새로운 공격을 연결시킬 수 있었습니다.”

 

중국어를 구사하는 IronHusky APT는 Kaspersky에서 2017년 러시아-몽골 군사 협상에 대한 정보 수집을 목적으로 러시아 및 몽골 정부 기관, 항공 회사, 연구 기관을 노린 캠페인을 조사하던 중 처음으로 발견되었습니다.

 

1년 후 Kaspersky 연구원은 해당 그룹에서 마이크로소프트 오피스 메모리 손상 취약점인 CVE-2017-11882를 악용하여 PlugX 및 PoisonIvy를 포함하여 중국어를 구사하는 APT 그룹에서 일반적으로 사용하는 RAT를 확산시키는 것을 발견했습니다.

 

 

RAT 배포에 권한 상승 제로데이 사용돼

 

이 공격에서 MysterySnail RAT를 배포하는 데 사용된 권한 상승 익스플로잇은 윈도우 7, 윈도우 서버 2008에서 윈도우 11, 윈도우 서버 2022를 포함한 최신 버전에 이르기까지 CVE-2021-40449 취약점이 패치되지 않은 윈도우 클라이언트 및 서버 버전을 노립니다.

 

Kaspersky가 실제 공격에서 발견한 제로데이 익스플로잇은 윈도우 클라이언트도 지원하지만, 현재까지는 윈도우 서버 시스템에서만 발견되었습니다.

 

MysterySnail RAT는 추가적인 명령을 수신하기 위해 C2 서버에 연결하기 전 해킹된 호스트에서 시스템 정보를 수집 및 추출하도록 설계되었습니다.

 

MysterySnail은 새 프로세스 생성, 이미 실행 중인 프로세스 종료, 대화형 셸 시작, 최대 50개 동시 연결을 지원하는 프록시 서버 시작 등 감염된 시스템에서 다양한 작업이 가능합니다.

 

두 연구원은 이에 대해 아래와 같이 밝혔습니다.

 

"이 악성코드 자체는 그다지 정교하지 않고, 다른 많은 원격 셸과 유사한 기능을 가지고 있습니다. 하지만 비교적 많은 수의 명령이 구현되었으며 삽입된 디스크 드라이브 모니터링, 프록시 역할 등 여러 추가 기능이 눈에 띕니다.”

 

자세한 기술 세부 정보 및 침해 지표는 Kaspersky에서 발행한 보고서에서 확인할 수 있습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Backdoor.Agent.Vigorf.A'로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/chinese-hackers-use-windows-zero-day-to-attack-defense-it-firms/

https://securelist.com/mysterysnail-attacks-with-windows-zero-day/104509/