Trash/legacy

20/12/01 일일 보안 동향

Hyeon Gu 2020. 12. 1. 23:34

목차

  1. 기업 이메일 계정을 대상으로 하는 백투 워크 피싱 캠페인
  1. Excel 4.0 매크로 공격이 급증하는 이유
  1. Conti 랜섬웨어 공격으로 산업용 IoT 회사 인 어드밴텍에 1,400 만 달러 요구


1. 기업 이메일 계정을 대상으로 하는 백 투 워크 피싱 캠페인

https://www.tripwire.com/state-of-security/security-data-protection/back-to-work-phishing-campaign-targeting-corporate-email-accounts/

  • 11 월 말,  공격 이메일 중 하나를 감지
    • 이 메시지는 받는 사람 회사의 내부 알림으로 위장
    • 발신자 주소를 위장하기 위해 스푸핑 기술을 사용
  • 그러나 이메일은 회사 내부에서 보낸 것이 아님

  • 발신자의 실제 주소는 'news@newsletterverwaltung.de'이며, 그렇지 않으면 알려지지 않은 당사자
  • 또한 IP는 회사 IP와 일치하지 않는 블랙리스트에 있는 VPN 서비스에서 시작
  • 보낸 사람이 자동화 된 내부 시스템을 가장하고 있음을 나타냄

  • 이 이메일은 수신자에게 제목에 수신자 이름이 포함 된 HTML 첨부 파일을 열도록 지시
    • 문서를 열었을 때 해당 문서는 대상 회사의 원격 작업 정책에 대한 새로운 지침을 제시
    • 또한 사용자에게 업데이트 된 약관에 대한 승인을 제출하도록 촉구하는 링크도 포함되어 있음
    • 실제로 이메일 자격 증명을 훔치도록 설계된 가짜 로그인 페이지로 이동

  • 이러한 악의 인 행위자는 대상 회사의 민감한 데이터에 액세스하기 위해 이러한 세부 정보를 사용할 수 있음
  • 발견 될 당시이 피싱 캠페인은 G Suite의 이메일 보안 도구를 우회하여 100,000 명의 직원받은 편지함에 도착했다 함



2. Excel 4.0 매크로 공격이 급증하는 이유

https://www.csoonline.com/article/3597913/why-excel-4-0-macro-exploits-are-surging.html?upd=1606746339018

  • Excel 4.0 매크로는 거의 30 년 동안 사용되어 왔지만 올해 공격자들은 이를 무기화 할 새로운 방법을 찾음

  • 연구원들은 샘플을 보고 괄찰하여 웨이브로 그룹화하여 맬웨어 작성자가 작업을 개선하여 악성 스프레드 시트를 더욱 정교하고 회피하도록 만드는 방법을 알음

  • XL4 매크로라고도 하는 Excel 4.0 매크로는 2 월에 더욱 널리 보급됨
    • 일반적으로 피해자는 이메일로 악성 XLS 파일을 받고 속여 매크로를 활성화
    • 공격자는 네트워크에 액세스하여 잠재적으로 더 영구적 일 수있는 추가 맬웨어를 전달할 수 있음.

  • Trickbot, Danabot, Gozi 및 ZLoader를 포함한 여러 상용 악성 코드 제품군은이 아이디어를 사용하여 대상 네트워크에 발판을 마련
  • 실제로 연구원들은 이러한 유형의 맬웨어가 광범위한 가능성의 문을 열어 준다고 말함

Excel 4.0 매크로 란?

  • 사용자가 화면에 메시지를 표시하거나 Windows 앱을 실행할 수있는 간단한 매크로를 만들수 있음
  • 사용자가 반복적 인 작업을 자동화하는 매크로를 만들 수 있다는 아이디어는 Excel이 처음 시작된 이래로 존재했으며 XLM은 Excel 4.0이 출시 된 1992 년에 기본 매크로 언어가 됨.

  • 계산기를 표시하는 = EXEC ( "calc.exe")처럼 간단 할 수 있지만 다른 일부는 파일 시스템, 레지스트리, WinAPI 등에 대한 액세스를 허용하는 여러 줄의 코드를 쌓을 수 있음

  • 반대로 표준 매크로는 통합 문서 관련 계산으로 제한되며 낮은 수준에서 시스템과 상호 작용할 수 없음

XL4 매크로는 점점 더 복잡해지고 있음

  • 3 월 중순까지 매크로는 문자를 ASCII 코드로 변환하는 CHAR (integer) 함수를 대량으로 사용
    • 페이로드의 각 문자는 해당하는 CHAR 함수를 사용하여 작성된 다음 문자열이 연결
    • 이는 다양한 다른 형식으로 나타나는 일반적인 난독화 기술
  • 연구원들은 더 많은 WinAPI 활동을 보았고 매크로가 레지스트리에서 Excel의 특정 보안 설정을 확인하기 시작했음을 발견
  • 또한 특정 날짜에 실행해야하는 몇 가지 샘플을 수집함. 
  • 그날은 페이로드의 난독화를 해제하는 열쇠로 사용됨

  • 샘플이 Excel 창을 숨기거나 최소화했는지 확인하기 시작한 5 월 중순 경에 또 다른 개선 된 회피 기술이 나타남
  • 일반적인 CHAR 함수를 활용하는 대신 문자열에서 하위 문자열을 추출하는 MID 함수를 사용하는 샘플을 발견함
    • CHAR를 예상하는 난독화 관련 서명을 깨 뜨리려는 시도

  • 6 월과 7 월까지 페이로드에서 VBS (Visual Basic Script)에 크게 의존하기 시작
    • 머신이 32 비트 또는 64 비트 아키텍처를 사용하는지 확인하여 해당 페이로드를 다운로드함
    • 32 비트 머신의 경우 이전 공격 웨이브에서 사용 된 것과 유사한 기술을 사용함
    • 그러나 64 비트 아키텍처의 경우 맬웨어 작성자는 두 개의 VBS 스크립트에 의존
    • 하나는 DLL을 다운로드하고 다른 하나는 이를 실행




3. Conti 랜섬웨어 공격으로 산업용 IoT 회사 인 어드밴텍에 1,400 만 달러 요구

https://hotforsecurity.bitdefender.com/blog/conti-ransomware-attack-demands-14-million-from-industrial-iot-firm-advantech-24608.html

  • 세계 최대의 산업용 컴퓨터 제조업체 인 대만의 어드밴텍은 랜섬웨어 공격을 받음

  • 어드밴텍은 이달 초 내부 네트워크가 해커에 의해 손상되었다고 확인했으며, 공격 확산을 막기위한 조치를 취했지만 데이터 도난과 일부 데이터베이스의 암호화를 방지하는 데 충분하지 않았음

  • 공격자들은 산업용 IoT (IIoT) 솔루션의 세계적 리더 인 회사에 750 비트 코인 (현재 환율 기준 약 1,400 만 달러 상당)의 랜섬웨어 지불을 요구했다고 주장

  • Conti 랜섬웨어는 악성 이메일 첨부 파일 또는 다운로드를 통해 시작된 공격과 비교하여 이미 컴퓨터 시스템을 손상시킨 해커에 의해 활성화되도록 설계 되었기 때문에 다른 랜섬웨어 공격과 다름
    • 이로 인해 한동안 손상된 네트워크에 있었던 공격자가 회사의 인프라에 대한 정보를 수집하고 네트워크의 특정 부분을 공격 대상으로 삼아 잠재적으로 행위에서 발견될 가능성을 줄일 수 있었음