목차
- 베트남에 연결된 Bismuth APT는 코인 채굴기를 활용하여 레이더 아래에 머물러 있음
- OceanLotus 백도어 대상인 MacOS
- Talos는 WebKit에서 원격 코드 실행을 허용하는 WebKit 결함 보고
1. 베트남에 연결된 Bismuth APT는 코인 채굴기를 활용하여 레이더 아래에 머물러 있음
https://securityaffairs.co/wordpress/111716/apt/bismuth-crypto-miners.html
- Microsoft의 연구원들은 베트남에 연결된 Bismuth 그룹 (일명 OceanLotus , Cobalt Kitty 또는 APT32 )이 사이버 스파이 활동 을 계속하면서 암호 화폐 채굴기를 배포하고 있다고 보고
- Cryptocurrency 마이너는 일반적으로 재정적 동기 공격과 관련이 있지만 BISMUTH는 코인 마이너가 레이더 아래에 남아있는 지속성을 설정하는 낮은 우선 순위 경고를 활용하려고 시도
- 전문가들은 국가적 행위자들이 사이버 범죄 조직과 관련된 TTP를 채택하여 공격 속성을 어렵게 만들고 있다고 경고
- 전문가들은 또한 Bismuth 해커가 시스템 손상으로부터 수익을 창출하는 새로운 방법을 모색하고 있다고 추측
- 최근 공격에서 킬 체인은 표적 조직 당 한 명의 특정 수신자를 위해 특별히 제작 된 스피어 피싱 이메일로 시작되며, 이는 사전 정찰 결과로 얻은 표적에 대한 깊은 지식을 암시하는 상황
- 위협 행위자들은 합법적 인 DLL을 악의적 인 DLL로 대체하여 관련 응용 프로그램이 실행될 때 로드되도록하는 기술인 DLL 사이드 로딩을 많이 사용.
- DLL 사이드 로딩을 수행하기 위해 BISMUTH는 Microsoft Defender Antivirus를 포함한 다양한 응용 프로그램의 오래된 버전을 도입
- 또한 Sysinternals DebugView 도구, McAfee 주문형 스캐너 및 Microsoft Word 2007도 활용
- 코인 채굴기를 배포하기 위해 BISMUTH는 먼저 .dat 파일을 삭제하고 rundll32.exe를 사용하여 파일을 로드 한 다음 7za.exe 라는 이름의 7-zip 도구 와 ZIP 파일을 다운로드
- 그런 다음 해커는 7-Zip을 사용하여 ZIP 파일에서 Monero 코인 채굴기를 추출하고 일반적인 가상 머신 프로세스의 이름을 딴 서비스로 채굴자를 등록
- MSTIC (Microsoft Threat Intelligence Center)가 있는 Microsoft 365 Defender 위협 인텔리전스 팀은 MITER ATT & CK 기술을 포함하여 공격에 대한 기술적 세부 정보를 제공
2. OceanLotus 백도어 대상인 MacOS
- 다단계 페이로드 및 다양한 업데이트 된 탐지 방지 기술에 의존하는 macOS 백도어 변형이 발견
- 연구원들은 이를 OceanLotus 지능형 지속 위협 (APT) 그룹에 연결
- 베트남이 지원하는 OceanLotus (APT 32라고도 함)는 최소한 2013 년부터 사용되어 왔으며 이전에 미디어, 연구 및 건설 회사에 대한 표적 공격을 시작
- 연구원들은이 경우 악성 코드 변종의 배후에있는 공격자가 베트남 사용자를 공격하는 것으로 보았으며 캠페인의 루어 문서 이름이 베트남어로 되어 있기 때문
- 멀웨어 이면의 초기 공격 벡터는 명확하지 않음
- OceanLotus APT는 최근 악성 웹 사이트와 Google Play 앱을 사용하여 다른 악성 코드를 유포하는 것으로 발견
- 맬웨어는 .zip 아카이브에 번들로 제공되는 앱에 압축되어 있음
- 앱이 Microsoft Word 문서로 위장하려고 시도
- 앱 번들에는 주요 악성 프로세스가 포함 된 셸 스크립트와 실행 중에 표시되는 "Word"파일의 두 가지 주목할만한 파일이 포함되어 있음
- 탐지를 회피하려는 또 다른 시도에서 앱 번들의 이름은 UTF-8 인코딩으로 된 3 바이트 ( "efb880")라는 특수 문자를 사용
- 앱이 Microsoft Word 문서로 위장하려고 시도
- “사용자가 macOS Finder 앱이나 터미널 명령 줄을 통해 가짜 문서 폴더를 찾을 때 폴더 이름에 'ALL tim nha Chi Ngoc Canada.doc'가 표시
- 그러나 폴더가 포함 된 원본 .zip 파일을 확인하면 '.'사이에 예기치 않은 세 바이트가 표시
- 이러한 바이트는 파일의 시각적 모양을 변경하지 않는 특수 유니 코드 제어 문자
- 그러나 파일은 시각적으로 일반 파일처럼 보이지만 운영 체제는 이러한 특수 문자로 인해 App Bundle을 지원되지 않는 디렉토리 유형으로 인식
- 따라서 기본 동작으로 "open"명령이 악성 앱을 실행하는데 사용
- 백도어 기능에는 프로세서 및 메모리 정보를 가져오고, 일련 번호를 가져오고, 네트워크 인터페이스 MAC 주소를 가져 오는 기능이 포함
- 이 모든 정보는 암호화되어 C2 서버로 전송
- 기타 지원되는 명령은 다음과 같습니다. 파일 크기 가져 오기; 파일 다운로드 및 실행; 터미널에서 명령 실행; 파일 다운로드 및 제거 구성 정보를 가져옴
3. Talos는 WebKit에서 원격 코드 실행을 허용하는 WebKit 결함 보고
- WebKit 브라우저 엔진에서 특수 제작 된 웹 사이트를 통한 원격 코드 실행에도 악용 될 수있는 결함을 발견
- Cisco의 Talos 팀은 사용자를 속여 악성 웹 사이트를 방문하도록 유도하여 코드를 실행하기 위해 원격 공격자가 악용 할 수있는 결함을 포함하여 WebKit 브라우저 엔진의 보안 결함을 발견
- WebKit 은 Apple에서 개발 한 브라우저 엔진으로 주로 Safari 웹 브라우저와 모든 iOS 웹 브라우저에서 사용됨
- WebKit은 BlackBerry Browser, PS3부터 시작되는 PlayStation 콘솔, Tizen 모바일 운영 체제 및 Amazon Kindle 전자 책 리더에 포함 된 브라우저에서도 사용
- WebKit 브라우저 엔진에는 소프트웨어의 다양한 기능에 여러 가지 취약점이 있음
- 악성 웹 페이지 코드는 여러 번의 사용 후 사용 오류를 유발하여 원격 및 임의 코드 실행으로 이어질 수 있습니다.
- 공격자는 사용자가 WebKit을 사용하는 브라우저에서 특수 제작 된 악의적 인 웹 페이지를 방문하도록 사용자를 속여 이러한 취약점을 악용 할 수 있습니다.
- 이 문제는 WebKit의 WebSocket, AudioSourceProviderGStreamer 및 ImageDecoderGStreamer 기능에 영향을 미침
- 결함에 대한 세부 정보
- CVE-2020-13584
- WebKitGTK 브라우저 버전 2.30.1 x64에 악용 가능한 사후 사용 취약점이 존재
- 공격자는 피해자가 특수 제작 된 HTML 웹 페이지를 방문하도록 속여 원격 코드 실행을 유발하여 사후 사용 조건을 트리거 할 수 있음
- CVE-2020-13543
- Webkit WebKitGTK 2.30.0의 WebSocket 기능에 코드 실행 결함이 있음
- 공격자는 사용자를 속여 특수 제작 된 웹 페이지를 방문하도록 유도하여 Use-after-free 취약점을 유발할 수 있으며, 이로 인해 원격 코드가 실행될 수 있음
- CVE-2020-13584
WebKitGTK 및 WPE의 여러 취약성 개발자는 상주 하는 취약성 집합 ( CVE-2020-13584 , CVE-2020-9948 , CVE-2020-9951 , CVE-2020-9952 , CVE-2020-9983 )에 대한 보안 권고 를 게시
'Trash > legacy' 카테고리의 다른 글
| 20/12/04 일일 보안 동향 (0) | 2020.12.04 |
|---|---|
| 20/12/03 일일 보안 동향 (0) | 2020.12.03 |
| 일일 보안 동향 알림 (0) | 2020.12.01 |
| 20/12/01 일일 보안 동향 (0) | 2020.12.01 |
| [Android] ListView 예제 소스 (0) | 2015.06.05 |
