해커들, 정부 및 국방 관련 타깃을 스파잉하기 위해 MSHTML 취약점 악용해

Hackers Exploited MSHTML Flaw to Spy on Government and Defense Targets

 

지난 화요일 사이버 보안 연구원들이 국가 안보 정책을 감독하는 고위 공무원과 서아시아의 방위 산업 부문의 개인을 노린 다단계 스파잉 캠페인을 발견했습니다.

 

보안 회사인 Trellix는 이 공격의 특이한 점이 Microsoft OneDrive를 C2 서버로 활용하고 은폐된 상태를 최대한 유지하기 위해 최대 6단계로 나뉜다는 것이라 밝혔습니다.

 

"이러한 통신 유형을 사용할 경우 합법적인 Microsoft 도메인에만 연결하고 의심스러운 네트워크 트래픽을 표시하지 않기 때문에 악성코드가 피해자의 시스템에서 눈에 띄지 않고 이동할 수 있습니다."

 

이 은밀한 작전은 최소 2021년 6월 18일에 시작되어 9월 21일 및 29일에 피해자 2명이 밝혀졌으며, 10월 6일과 8일 사이 추가로 17명이 보고된 것으로 알려졌습니다.

 

Trellix는 이 정교한 공격에 사용된 소스 코드, 공격 지표, 지정학적 목표로 미루어볼 때 Sofacy, Strontium, Fancy Bear, Sednit라 명명된 러시아 기반 APT28 그룹의 작업일 것으로 추측했습니다.

 

 

<이미지 출처 : https://www.trellix.com/en-gb/about/newsroom/stories/threat-labs/prime-ministers-office-compromised.html>

 

 

Trellix의 보안 연구원인 Marc Elias는 아래와 같이 밝혔습니다.

 

"인프라, 악성코드 코딩, 운영이 설정된 방식으로 미루어 볼 때 공격자는 매우 숙련된 것으로 보입니다.”

 

감염 체인은 MSHTML 원격 코드 실행 취약점(CVE-2021-40444)에 대한 익스플로잇이 포함된 Microsoft 엑셀 파일을 실행하여 시작됩니다. 해당 익스플로잇은 Graphite라는 3단계 악성코드의 다운로더 역할을 하는 악성 바이너리를 실행하는 데 사용됩니다.

 

DLL 실행 파일은 Microsoft Graph API를 통해 OneDrive를 C2 서버로 사용하여 결국에는 공격자가 후속 활동을 위해 자주 악용하는 오픈소스 PowerShell 기반 공격 후 프레임워크인 Empire를 다운로드하고 실행하는 추가 스테이저 악성코드를 받아옵니다.

 

Microsoft와 SafeBreach Labs는 악성코드를 설치하고 맞춤형 Cobalt Strike Beacon 로더를 배포하는 취약점을 무기화한 여러 캠페인을 공개했습니다. 이를 통해 MSHTML 렌더링 엔진이 지속적으로 악용되고 있다는 것을 알 수 있습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/01/hackers-exploited-mshtml-flaw-to-spy-on.html

https://www.trellix.com/en-gb/about/newsroom/stories/threat-labs/prime-ministers-office-compromised.html