New Zloader Banking Malware Campaign Exploiting Microsoft Signature Verification
현재 진행 중인 ZLoader 악성코드 캠페인이 원격 모니터링 도구 및 악용하고 사용자 크리덴셜 및 민감 정보를 빼내기 위해 9년된 마이크로소프트의 디지털 서명 확인 취약점을 악용하는 것으로 나타났습니다.
2021년 11월부터 이 감염 체인을 추적해 온 이스라엘의 사이버 보안 회사인 Check Point Research는 이전 공격과의 유사성을 들며 Malsmoke라는 사이버 범죄 그룹이 이 공격의 배후에 있을 것이라 밝혔습니다.
Check Point의 Golan Cohen은 The Hacker News와 공유한 보고서에서 아래와 같이 밝혔습니다.
"감염 체인에는 합법적인 원격 관리 소프트웨어(RMM)를 사용하여 타깃 시스템에 대한 초기 액세스 권한을 얻는 것이 포함됩니다."
"이후 악성코드는 마이크로소프트의 디지털 서명 인증 방식을 악용하여 페이로드를 서명된 시스템 DLL에 삽입하여 시스템 방어를 추가로 회피합니다."
이 캠페인은 2022년 1월 2일 기준 111개국에서 2,170명의 희생자를 발생시킨 것으로 알려져 있으며 대부분의 피해자는 미국, 캐나다, 인도, 인도네시아, 호주에 위치합니다. 이들은 발견 및 분석을 피하기 위해 난독화 및 여러겹의 기타 탐지 회피 방법을 사용합니다.
공격은 Atera라는 합법적인 기업용 원격 모니터링 소프트웨어를 설치하는 것으로 시작되며, 이를 사용하여 임의의 파일을 업로드 및 다운로드하고 악성 스크립트를 실행합니다. 그러나 설치 프로그램 파일을 배포하는 정확한 모드는 아직 알려지지 않았습니다.
파일 중 하나는 Windows Defender에 제외를 추가하는 데 사용되며, 두 번째 파일은 ZLoader 바이너리("9092.dll")를 실행하는 데 사용되는 "appContast.dll"이라는 DLL 파일을 포함하여 다음 단계 페이로드를 받아와 실행합니다.
여기서 눈에 띄는 점은 appContast.dll이 마이크로소프트에서 유효한 서명을 사용했을 뿐만 아니라 원래 앱 해석기 모듈("AppResolver.dll")이었던 파일이 조정되어 로드할 악성 스크립트가 삽입되었다는 것입니다.
이는 WinVerifyTrust 서명 유효성 검사 취약점인 CVE-2013-3900으로 등록된 알려진 문제를 악용하여 가능합니다. 이 취약점은 원격 공격자가 파일 서명의 유효성을 유지하면서 악성코드 조각을 추가하여 특수하게 조작된 이식 가능한 실행 파일을 통해 임의의 코드를 실행할 수 있도록 합니다.
마이크로소프트는 2013년에 이 버그를 해결했지만, 회사는 2014년 7월 계획을 수정하여 더 이상 "지원되는 마이크로소프트 윈도우 버전에서 더 엄격한 확인 동작을 기본 기능으로 시행"하지 않고 이를 옵트인 기능으로 사용할 수 있게 했습니다.
Cohen은 "즉, 이 수정 프로그램은 기본적으로 비활성화되어 있어 악성코드 작성자가 서명된 파일을 수정할 수 있다"고 밝혔습니다.
악성코드 연구원인 Kobi Eisenkraft는 "ZLoader 캠페인 공격자는 방어 회피에 많은 노력을 기울인 것으로 보이며, 여전히 매주 방법을 업데이트하고 있는 것 같다"고 밝혔습니다.
또한 사용자들에 알 수 없는 소스로부터 소프트웨어 설치하는 것을 자제하고 실행 파일에 대해 마이크로소프트의 엄격한 윈도우 인증 서명 확인을 적용할 것을 권장했습니다.
출처:
https://thehackernews.com/2022/01/new-zloader-banking-malware-campaign.html
구글 문서의 댓글 기능, 피싱 공격에 악용돼 (0) | 2022.01.07 |
---|---|
아이폰이 종료된 것으로 위장해 사용자를 몰래 감시할 수 있는 새로운 트릭 발견 (0) | 2022.01.07 |
2021년 최악의 사이버 공격사건 정리 (0) | 2022.01.06 |
마이크로소프트, 지속적인 Log4j 취약점 악용 경고 (0) | 2022.01.06 |
클라우드 비디오 플랫폼, 부동산 사이트 100곳 스키머 삽입에 악용돼 (0) | 2022.01.05 |
댓글 영역