약 9년 전 MS의 인증 시스템에서 취약점이 발견됐고 패치됐다. 하지만 이 픽스가 옵티은으로 변경되면서 사실상 롤백되었다. 공격자들이 이를 노리고 멀웨어를 유포하기 시작했다.
[보안뉴스 문가용 기자] 마이크로소프트의 전자 서명 확인 장치를 악용하여 지로더(ZLoder)라는 멀웨어를 퍼트리는 공격 캠페인이 발견됐다. 지로더는 일종의 뱅킹 멀웨어로, 사용자 크리덴셜과 개인정보를 훔치는 기능을 가지고 있다. 이 캠페인은 11월 초에 보안 업체 체크포인트(Check Point)가 발견했고, 그 동안의 추적 행위까지 정리돼 오늘 공개됐다.
[이미지 = utoimage]
1월 2일을 기준으로 이 공격에 당한 고유 IP 주소는 전 세계적으로 2170개라고 한다. 악성 파일이 다운로드된 곳이 최소 2170개라는 뜻이다. 국가별로 집계했을 때의 가장 많은 피해가 발생한 곳은 미국(864개), 캐나다(305개), 인도(140개)였다. 피해 조직 대부분 사업체들이지만 일부 교육 기관과 정부 기간, 소수의 개인들도 포함되어 있었다.
지로더라는 멀웨어 자체는 전혀 새로울 것이 없는 위협거리다. 악성 파일을 통해서, 성인 웹사이트를 통해서, 구글 광고를 통해서 지난 몇 년 동안 수많은 피해자들을 양산한 멀웨어이기 때문이다. 다만 이번 캠페인에서 드러나는 차별점은 ‘지로더를 피해자 시스템에 침투시키는 방법’이었다. 정상적인 원격 관리 소프트웨어인 RMM을 통해 최초 침투를 감행한 후 파일의 서명에 코드를 추가하고, 이를 활용해 mshta.exe라는 파일을 실행시키는 것이다.
체크포인트의 멀웨어 분석가인 코비 아이젠크라프트(Kobi Eisenkraft)는 “마이크로소프트의 디지털 서명 인증 기법을 악성 코드 주입에 활용하여 지로더를 퍼트리는 방식은 처음 본다”고 말한다. “정상적인 서명 인증 기법을 활용하므로 시스템 내 방어 수단들이 무력화됩니다. 지로더 캠페인 운영자들이 방어 장치 회피에 꽤나 큰 공을 들인 것이 분명합니다.”
캠페인 상세 설명
공격은 제일 먼저 아테라(Atera)라는 소프트웨어를 피해자의 시스템에 심는 것으로 시작된다. 아테라는 정상적인 기업형 RMM 소프트웨어로, 에이전트를 설치하거나 엔드포인트를 특정 계정으로 연결시키는 기능을 가지고 있다. 공격자들은 임시 이메일 주소를 생성하여 RMM을 공략했고, 그런 후 자바 설치 파일로 위장된 파일을 심었다.
아이젠크라프트는 “공격자들이 아테라를 최초에 어떻게 침투시키는지는 아직 잘 모른다”고 말한다. 하지만 이전 지로더 캠페인에서 공격자들은 성인물이라고 피해자를 속이거나 자바 설치 파일로 속여 지로더를 퍼트리기도 했었다. 아테라는 Run Script라는 함수를 사용해 두 개의 .bat 파일을 피해자의 시스템에 안착시킨다. 하나의 .bat 파일은 윈도 디펜더의 설정을 바꾸는 데 사용되고, 다른 하나의 .bat 파일은 나머지 멀웨어를 로딩시킨다. 이 때문에 탐지 솔루션으로 발견되지 않는다.
그 후에 실행되는 건 mshta.exe와 appContast.dll이다. 전자가 실행될 때 후자가 매개변수로 작용한다. 재미있는 건 이 파일(exe파일)이 마이크로소프트의 공식 서명으로 서명이 되었다는 것이다. 체크포인트는 “공격자들이 CVE-2020-1599, CVE-2013-3900, CVE-2012-0151이라는 취약점들을 익스플로잇 하기 때문”이라고 설명한다. 이중 특히 문제가 되는 건 CVE-2013-3900이다.
CVE-2013-3900은 마이크로소프트가 2013년 패치한 시그니처 인증 관련 취약점이다. 하지만 2014년 7월, 엄격한 파일 인증 기준을 ‘옵트인’으로 바꿨다. 즉 디폴트 그대로 놔두면 패치를 하지 않은 것과 마찬가지인 상태로 되돌린 것이다. 이 때문에 2013년에 발견된 오래된 취약점은 사실상 패치가 되지 않은 채(사용자 스스로 패치를 진행하지 않는 이상) 사용되고 있다는 게 아이젠크라프트의 설명이다.
“아직까지는 공격자들이 어떤 데이터를 구체적으로 노리는지 확실히 알 수 없습니다. 지금은 무작위로 데이터를 챙겨가는 것 같습니다. 그런 중에 비밀번호와 민감한 정보가 섞여 있긴 합니다.” 그러면서 체크포인트는 공격자들이 ‘말스모크(Malsmoke)’라는 팀으로 보고 있다고 설명한다. 말스모크라는 팀이 MS의 디지털 시그니처 체계를 공략한 건 이번이 처음이라고 아이젠크라프트는 설명한다.
현재 캠페인에 사용되는 파일들은 teamworks455.com이라는 도메인에 호스팅 되어 있는 것으로 알려져 있다. 그 외에 말스모크 팀이 2020년에 진행한 캠페인과 관련된 도메인도 여기에 연루되어 있는 것으로 발견됐다.
3줄 요약
1. 마이크로소프트의 오래된 인증 취약점, 사실상 패치가 안 된 상태.
2. 이를 노린 말스모크, 취약점 통해 지로더라는 멀웨어 퍼트리는 중.
3. 노리는 정보는 명확하지 않으나 크리덴셜이 새나가고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트의 전자 서명 확인 장치를 악용하여 지로더(ZLoder)라는 멀웨어를 퍼트리는 공격 캠페인이 발견됐다. 지로더는 일종의 뱅킹 멀웨어로, 사용자 크리덴셜과 개인정보를 훔치는 기능을 가지고 있다. 이 캠페인은 11월 초에 보안 업체 체크포인트(Check Point)가 발견했고, 그 동안의 추적 행위까지 정리돼 오늘 공개됐다.
[이미지 = utoimage]
1월 2일을 기준으로 이 공격에 당한 고유 IP 주소는 전 세계적으로 2170개라고 한다. 악성 파일이 다운로드된 곳이 최소 2170개라는 뜻이다. 국가별로 집계했을 때의 가장 많은 피해가 발생한 곳은 미국(864개), 캐나다(305개), 인도(140개)였다. 피해 조직 대부분 사업체들이지만 일부 교육 기관과 정부 기간, 소수의 개인들도 포함되어 있었다.
지로더라는 멀웨어 자체는 전혀 새로울 것이 없는 위협거리다. 악성 파일을 통해서, 성인 웹사이트를 통해서, 구글 광고를 통해서 지난 몇 년 동안 수많은 피해자들을 양산한 멀웨어이기 때문이다. 다만 이번 캠페인에서 드러나는 차별점은 ‘지로더를 피해자 시스템에 침투시키는 방법’이었다. 정상적인 원격 관리 소프트웨어인 RMM을 통해 최초 침투를 감행한 후 파일의 서명에 코드를 추가하고, 이를 활용해 mshta.exe라는 파일을 실행시키는 것이다.
체크포인트의 멀웨어 분석가인 코비 아이젠크라프트(Kobi Eisenkraft)는 “마이크로소프트의 디지털 서명 인증 기법을 악성 코드 주입에 활용하여 지로더를 퍼트리는 방식은 처음 본다”고 말한다. “정상적인 서명 인증 기법을 활용하므로 시스템 내 방어 수단들이 무력화됩니다. 지로더 캠페인 운영자들이 방어 장치 회피에 꽤나 큰 공을 들인 것이 분명합니다.”
캠페인 상세 설명
공격은 제일 먼저 아테라(Atera)라는 소프트웨어를 피해자의 시스템에 심는 것으로 시작된다. 아테라는 정상적인 기업형 RMM 소프트웨어로, 에이전트를 설치하거나 엔드포인트를 특정 계정으로 연결시키는 기능을 가지고 있다. 공격자들은 임시 이메일 주소를 생성하여 RMM을 공략했고, 그런 후 자바 설치 파일로 위장된 파일을 심었다.
아이젠크라프트는 “공격자들이 아테라를 최초에 어떻게 침투시키는지는 아직 잘 모른다”고 말한다. 하지만 이전 지로더 캠페인에서 공격자들은 성인물이라고 피해자를 속이거나 자바 설치 파일로 속여 지로더를 퍼트리기도 했었다. 아테라는 Run Script라는 함수를 사용해 두 개의 .bat 파일을 피해자의 시스템에 안착시킨다. 하나의 .bat 파일은 윈도 디펜더의 설정을 바꾸는 데 사용되고, 다른 하나의 .bat 파일은 나머지 멀웨어를 로딩시킨다. 이 때문에 탐지 솔루션으로 발견되지 않는다.
그 후에 실행되는 건 mshta.exe와 appContast.dll이다. 전자가 실행될 때 후자가 매개변수로 작용한다. 재미있는 건 이 파일(exe파일)이 마이크로소프트의 공식 서명으로 서명이 되었다는 것이다. 체크포인트는 “공격자들이 CVE-2020-1599, CVE-2013-3900, CVE-2012-0151이라는 취약점들을 익스플로잇 하기 때문”이라고 설명한다. 이중 특히 문제가 되는 건 CVE-2013-3900이다.
CVE-2013-3900은 마이크로소프트가 2013년 패치한 시그니처 인증 관련 취약점이다. 하지만 2014년 7월, 엄격한 파일 인증 기준을 ‘옵트인’으로 바꿨다. 즉 디폴트 그대로 놔두면 패치를 하지 않은 것과 마찬가지인 상태로 되돌린 것이다. 이 때문에 2013년에 발견된 오래된 취약점은 사실상 패치가 되지 않은 채(사용자 스스로 패치를 진행하지 않는 이상) 사용되고 있다는 게 아이젠크라프트의 설명이다.
“아직까지는 공격자들이 어떤 데이터를 구체적으로 노리는지 확실히 알 수 없습니다. 지금은 무작위로 데이터를 챙겨가는 것 같습니다. 그런 중에 비밀번호와 민감한 정보가 섞여 있긴 합니다.” 그러면서 체크포인트는 공격자들이 ‘말스모크(Malsmoke)’라는 팀으로 보고 있다고 설명한다. 말스모크라는 팀이 MS의 디지털 시그니처 체계를 공략한 건 이번이 처음이라고 아이젠크라프트는 설명한다.
현재 캠페인에 사용되는 파일들은 teamworks455.com이라는 도메인에 호스팅 되어 있는 것으로 알려져 있다. 그 외에 말스모크 팀이 2020년에 진행한 캠페인과 관련된 도메인도 여기에 연루되어 있는 것으로 발견됐다.
3줄 요약
1. 마이크로소프트의 오래된 인증 취약점, 사실상 패치가 안 된 상태.
2. 이를 노린 말스모크, 취약점 통해 지로더라는 멀웨어 퍼트리는 중.
3. 노리는 정보는 명확하지 않으나 크리덴셜이 새나가고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
