기술 지원
문서
로그인
문의하기
새로운 스파이 공격으로 미국 조직을 노리는 버드웜 해커들
2022년 10월 28일 TuxCare 홍보팀
악명 높은 사이버 스파이 그룹 버드웜은 미국 주 의회, 중동 국가, 다국적 전자 제품 제조업체 등 다수의 유명 표적에 대해 의도적인 공격을 감행했습니다.
익명의 미국 주 의회를 공격한 이번 사건은 버드웜이 미국에 기반을 둔 단체를 표적으로 삼은 것은 몇 년 만에 처음 있는 일입니다.
시만텍 위협 헌터 팀에 따르면, 버드웜 그룹은 Log4j 취약점(CVE-2021-44228 및 CVE-2021-45105)을 악용했습니다. 익스플로잇된 결함은 웹 셸을 설치하기 위해 서버의 apache 톰캣 서비스를 손상시키는 데 사용되었습니다. 공격자는 명령 및 제어(C&C) 서버로 Vultr 및 Telstra에서 호스팅되는 가상 사설 서버(VPS)를 사용했습니다.
"버드웜의 주요 페이로드는 계속해서 하이퍼브로 멀웨어 제품군으로, 동적 링크 라이브러리(DLL) 사이드 로딩이라는 기술을 사용하여 로드되는 경우가 많습니다. 여기에는 공격자가 합법적인 DLL이 있을 것으로 예상되는 디렉터리에 악성 DLL을 배치하는 것이 포함됩니다. 그런 다음 공격자는 합법적인 애플리케이션을 실행합니다(직접 설치한 후). 그런 다음 정상 애플리케이션이 페이로드를 로드하고 실행합니다."라고 보고서는 밝혔습니다.
가장 최근 공격의 경우, 버드웜은 엔드포인트 권한 관리 소프트웨어인 사이버아크 뷰피니티를 사용하여 사이드 로딩을 수행했습니다. 이 바이너리의 기본 이름은 vf_host.exe이며 공격자는 일반적으로 더 무해한 파일로 위장하기 위해 이 바이너리를 남깁니다.
공격자는 플러그엑스/코플러그 트로이 목마를 페이로드로 사용하지만, 공격에 사용되는 다른 도구로는 코발트 스트라이크, 라자뉴, IOX, FRP(Fast Reverse Proxy) 및 Fscan 등이 있습니다.
코발트 스트라이크는 셸코드를 피해 시스템에 로드하는 데 사용되는 상용 툴입니다. 합법적인 모의 침투 테스트 도구이지만 위협 공격자가 악용할 수 있습니다. 라자네는 공개적으로 사용 가능한 크리덴셜 덤핑 툴입니다. IOX는 공개적으로 사용 가능한 프록시 및 포트 포워딩 툴입니다. FRP(Fast Reverse Proxy)는 역방향 프록시 도구이며, Fscan은 공개적으로 사용 가능한 인트라넷 스캐닝 도구입니다.
공격을 완화하려면 적절한 보안 조치가 필수적입니다. 조직은 반드시 최신 패치를 사용하여 서버에 설치해야 합니다. 또한 공격자가 조직에 대한 초기 접근을 허용할 수 있으므로 조직에서 악용 가능한 취약점을 탐지하기 위해 주기적으로 펜 테스트를 실시하는 것도 중요합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
