20/12/02 일일 보안 동향

목차

1. 베트남에 연결된 Bismuth APT는 코인 채굴기를 활용하여 레이더 아래에 머물러 있음

2. OceanLotus 백도어 대상인 MacOS

3. Talos는 WebKit에서 원격 코드 실행을 허용하는 WebKit 결함 보고

1. 베트남에 연결된 Bismuth APT는 코인 채굴기를 활용하여 레이더 아래에 머물러 있음

https://securityaffairs.co/wordpress/111716/apt/bismuth-crypto-miners.html

• Microsoft의 연구원들은 베트남에 연결된 Bismuth 그룹 (일명 OceanLotus , Cobalt Kitty 또는 APT32 )이 사이버 스파이 활동 을 계속하면서 암호 화폐 채굴기를 배포하고 있다고 보고

• Cryptocurrency 마이너는 일반적으로 재정적 동기 공격과 관련이 있지만 BISMUTH는 코인 마이너가 레이더 아래에 남아있는 지속성을 설정하는 낮은 우선 순위 경고를 활용하려고 시도
  • 전문가들은 국가적 행위자들이 사이버 범죄 조직과 관련된 TTP를 채택하여 공격 속성을 어렵게 만들고 있다고 경고

• 전문가들은 또한 Bismuth 해커가 시스템 손상으로부터 수익을 창출하는 새로운 방법을 모색하고 있다고 추측

• 최근 공격에서 킬 체인은 표적 조직 당 한 명의 특정 수신자를 위해 특별히 제작 된 스피어 피싱 이메일로 시작되며, 이는 사전 정찰 결과로 얻은 표적에 대한 깊은 지식을 암시하는 상황

• 위협 행위자들은 합법적 인 DLL을 악의적 인 DLL로 대체하여 관련 응용 프로그램이 실행될 때 로드되도록하는 기술인 DLL 사이드 로딩을 많이 사용.
  • DLL 사이드 로딩을 수행하기 위해 BISMUTH는 Microsoft Defender Antivirus를 포함한 다양한 응용 프로그램의 오래된 버전을 도입
  • 또한 Sysinternals DebugView 도구, McAfee 주문형 스캐너 및 Microsoft Word 2007도 활용

• 코인 채굴기를 배포하기 위해 BISMUTH는 먼저 .dat  파일을 삭제하고  rundll32.exe를 사용하여 파일을 로드 한 다음  7za.exe  라는 이름의 7-zip 도구  와 ZIP 파일을 다운로드

• 그런 다음 해커는 7-Zip을 사용하여 ZIP 파일에서 Monero 코인 채굴기를 추출하고 일반적인 가상 머신 프로세스의 이름을 딴 서비스로 채굴자를 등록

• MSTIC (Microsoft Threat Intelligence Center)가 있는 Microsoft 365 Defender 위협 인텔리전스 팀은 MITER ATT & CK 기술을 포함하여 공격에 대한 기술적 세부 정보를 제공

2. OceanLotus 백도어 대상인 MacOS

https://threatpost.com/macos-users-targeted-oceanlotus-backdoor/161655/

• 다단계 페이로드 및 다양한 업데이트 된 탐지 방지 기술에 의존하는 macOS 백도어 변형이 발견
  • 연구원들은 이를 OceanLotus 지능형 지속 위협 (APT) 그룹에 연결

• 베트남이 지원하는 OceanLotus (APT 32라고도 함)는 최소한 2013 년부터 사용되어 왔으며 이전에 미디어, 연구 및 건설 회사에 대한 표적 공격을 시작

• 연구원들은이 경우 악성 코드 변종의 배후에있는 공격자가 베트남 사용자를 공격하는 것으로 보았으며 캠페인의 루어 문서 이름이 베트남어로 되어 있기 때문

• 멀웨어 이면의 초기 공격 벡터는 명확하지 않음

• OceanLotus APT는 최근 악성 웹 사이트와 Google Play 앱을 사용하여 다른 악성 코드를 유포하는 것으로 발견

• 맬웨어는 .zip 아카이브에 번들로 제공되는 앱에 압축되어 있음
  •  앱이 Microsoft Word 문서로 위장하려고 시도
    • 앱 번들에는 주요 악성 프로세스가 포함 된 셸 스크립트와 실행 중에 표시되는 "Word"파일의 두 가지 주목할만한 파일이 포함되어 있음
  • 탐지를 회피하려는 또 다른 시도에서 앱 번들의 이름은 UTF-8 인코딩으로 된 3 바이트 ( "efb880")라는 특수 문자를 사용

• “사용자가 macOS Finder 앱이나 터미널 명령 줄을 통해 가짜 문서 폴더를 찾을 때 폴더 이름에 'ALL tim nha Chi Ngoc Canada.doc'가 표시

• 그러나 폴더가 포함 된 원본 .zip 파일을 확인하면 '.'사이에 예기치 않은 세 바이트가 표시

• 이러한 바이트는 파일의 시각적 모양을 변경하지 않는 특수 유니 코드 제어 문자
  • 그러나 파일은 시각적으로 일반 파일처럼 보이지만 운영 체제는 이러한 특수 문자로 인해 App Bundle을 지원되지 않는 디렉토리 유형으로 인식
  •  따라서 기본 동작으로 "open"명령이 악성 앱을 실행하는데 사용

• 백도어 기능에는 프로세서 및 메모리 정보를 가져오고, 일련 번호를 가져오고, 네트워크 인터페이스 MAC 주소를 가져 오는 기능이 포함

• 이 모든 정보는 암호화되어 C2 서버로 전송

• 기타 지원되는 명령은 다음과 같습니다. 파일 크기 가져 오기; 파일 다운로드 및 실행; 터미널에서 명령 실행; 파일 다운로드 및 제거 구성 정보를 가져옴

3. Talos는 WebKit에서 원격 코드 실행을 허용하는 WebKit 결함 보고

https://securityaffairs.co/wordpress/111698/hacking/webkit-browser-engine-flaws.html?utm_source=rss&utm_medium=rss&utm_campaign=webkit-browser-engine-flaws

• WebKit 브라우저 엔진에서 특수 제작 된 웹 사이트를 통한 원격 코드 실행에도 악용 될 수있는 결함을 발견

• Cisco의 Talos 팀은 사용자를 속여 악성 웹 사이트를 방문하도록 유도하여 코드를 실행하기 위해 원격 공격자가 악용 할 수있는 결함을 포함하여 WebKit 브라우저 엔진의 보안 결함을 발견
  • WebKit 은 Apple에서 개발 한 브라우저 엔진으로 주로 Safari 웹 브라우저와 모든 iOS 웹 브라우저에서 사용됨
  • WebKit은 BlackBerry Browser, PS3부터 시작되는 PlayStation 콘솔, Tizen 모바일 운영 체제 및 Amazon Kindle 전자 책 리더에 포함 된 브라우저에서도 사용

• WebKit 브라우저 엔진에는 소프트웨어의 다양한 기능에 여러 가지 취약점이 있음

• 악성 웹 페이지 코드는 여러 번의 사용 후 사용 오류를 유발하여 원격 및 임의 코드 실행으로 이어질 수 있습니다.

• 공격자는 사용자가 WebKit을 사용하는 브라우저에서 특수 제작 된 악의적 인 웹 페이지를 방문하도록 사용자를 속여 이러한 취약점을 악용 할 수 있습니다.

• 이 문제는 WebKit의 WebSocket, AudioSourceProviderGStreamer 및 ImageDecoderGStreamer 기능에 영향을 미침

• 결함에 대한 세부 정보
  • CVE-2020-13584
    • WebKitGTK 브라우저 버전 2.30.1 x64에 악용 가능한 사후 사용 취약점이 존재
    • 공격자는 피해자가 특수 제작 된 HTML 웹 페이지를 방문하도록 속여 원격 코드 실행을 유발하여 사후 사용 조건을 트리거 할 수 있음
  • CVE-2020-13543
    • Webkit WebKitGTK 2.30.0의 WebSocket 기능에 코드 실행 결함이 있음
    • 공격자는 사용자를 속여 특수 제작 된 웹 페이지를 방문하도록 유도하여 Use-after-free 취약점을 유발할 수 있으며, 이로 인해 원격 코드가 실행될 수 있음

WebKitGTK 및 WPE의 여러 취약성 개발자는 상주 하는 취약성 집합 ( CVE-2020-13584 ,  CVE-2020-9948 ,  CVE-2020-9951 ,  CVE-2020-9952 ,  CVE-2020-9983 )에 대한 보안 권고 를 게시