시큐리티대응센터 2044

BPFDoor 변종 발견 및 유형별 BPF 필터 코드 차이점 비교

1. 개요 올해 5월, “BPFDoor” 악성코드의 새로운 버전이 발견됐다. “BPFDoor” 악성코드는 커널 필터링 기능인 BPF(Berkley Packet Filter)를 사용해 들어오는 트래픽을 방화벽이 탐지하기 전에 필터링한다. 필터링을 통과한 후에는 감염된 PC에서 공격자가 보낸 데이터나 명령에 따른 행위를 수행한다. “BPFDoor” 변종의 주요 특징은 공격자의 C&C 서버와 통신하는 방식을 변경했다는 점이다. 이전 버전은 바인드 셸 방식과 iptables의 규칙을 변경해 네트워크를 연결했었다. 그러나 변종 악성코드에서는 리버스 셸 방식으로 네트워크를 연결한 후 공격자가 전송한 명령을 실행한다. 추가로 프로그램 내부에서 매직 패킷(Magic Packet)을 확인해 필터를 통과한 경우에만 네트워..

피싱 이메일로 유포되는 Rhysida 랜섬웨어

최근 전 세계의 교육, 군사 및 의료 등 다양한 분야를 대상으로 하는 “Rhysida” 랜섬웨어의 공격 사례가 잇따라 발견되고 있다. 공격자는 피싱 이메일로 사용자 PC에 접근한 후, 코발트 스트라이크(Cobalt Strike)와 같은 명령 및 제어 프레임워크를 이용해 해당 랜섬웨어를 다운로드한다. 이후, 원격 제어 프로그램 “Psexec”를 이용해 다운로드한 랜섬웨어를 실행한다. “Rhysida” 랜섬웨어는 사용자 PC의 파일을 암호화하고, “CriticalBreachDetected.pdf”란 이름의 랜섬노트를 생성한다. 해당 랜섬웨어는 암호화된 파일의 파일명에 “[.rhysida]” 확장자를 추가한다. 암호화는 랜섬웨어 실행 시 대상 폴더를 지정할 수 있으며, 대상 폴더를 생략하면 시스템 전체를 대상..

은행 계정을 탈취하는 MMRat 발견

최근 가짜 앱 스토어를 사용해 은행 계정을 탈취하는 “MMRat” 악성코드가 발견됐다. 사용자가 공식 앱 스토어로 위장한 웹사이트에서 다운로드한 앱을 실행하면 “MMRat”이 설치된다. 그 후 “MMRat”은 Android 접근성 서비스 권한을 요청하고 개인 정보 및 사용자가 입력한 데이터를 수집해 공격자가 운영하는 원격 서버로 전송한다. 또한, 해당 악성코드는 장치가 사용 중이지 않을 때를 확인한 후 재부팅을 시도하고, 장치에 설치된 은행 앱의 계정 정보를 추가로 탈취한다. 최종적으로 “MMRat”은 악의적인 작업을 수행한 후 앱 설치 및 사용 흔적을 제거하고 자가 삭제된다. 외신은 Android 사용자에게 Google Play에서만 앱을 다운로드하고, 앱 설치 단계에서 액세스 권한을 요청할 경우에는 ..

Cisco 제품 보안 업데이트 권고

개요 Cisco 사는 자사 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Cisco NX-OS 9.3(11), 10.2(5) - Cisco UCS 4.1(3l), 4.2(3b), 4.2(3d), 4.3 참고자료 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-sftp-xVAp5Hfd https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvi..

취약점 정보 2023.08.31

Mozilla 제품 보안 업데이트 권고

개요 Mozilla 재단은 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Firefox 117.0 - Firefox ESR 102.15, 115.2 참고자료 https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/ https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/

취약점 정보 2023.08.31

OfficeNote로 위장한 XLoader 악성코드

MacOS를 공격하는 “XLoader” 악성코드가 생산성 앱인 OfficeNote로 위장해 유포되는 정황이 발견됐다. 보안 업체 SentinelOne은 “XLoader”를 인포스틸러이자 봇넷이라고 소개하며 2021년에 Java로 작성된 MacOS용 샘플을 발견했다고 언급했다. 발견 당시 MacOS가 2009년에 출시된 Mac OS X Snow Leopard 버전 이후로 자바 실행 환경(JRE)을 기본 제공하지 않아 Java를 별도 설치한 업체를 대상으로 공격한다고 덧붙였다. 한편, 새로 발견한 샘플은 C 및 Object-C 언어로 작성돼 기존의 종속성 문제가 없다고 전했다. 또한, OfficeNote.dmg라는 파일명으로 유포되며 Apple 개발자의 서명을 사용한다고 설명했다. 다음으로 SentinelO..

Zimbra 이메일 계정을 노리는 피싱 캠페인

최근 이메일 서버의 자격 증명을 도용하는 Zimbra Collaboration 피싱 캠페인이 발견됐다. 보안업체 ESET은 해당 피싱 이메일이 Zimbra 이메일 서버 사용자를 대상으로 전송된다고 전했다. 공격자는 사용자에게 Zimbra 업체가 보낸 것처럼 위장해 이메일 서버 업데이트가 임박했음을 알린다. 사용자가 첨부된 HTML 파일을 열면 가짜 Zimbra 로그인 페이지를 띄워 로그인을 유도한다. 이후 로그인 계정을 입력하면 공격자에게 정보가 전달되고, 해당 계정으로 또 다른 사용자에게 피싱 이메일을 유포할 수 있다. ESET은 공격자가 Zimbra Collaboration 이메일 서버를 대상으로 내부 정보를 수집하거나, 이를 서버 전체에 추가 공격하기 위한 초기 지점으로 활용한다고 언급했다. 사진 ..

OpenCarrot 백도어

Sentinel Labs에 의해, 러시아의 군용 제조업체에 발생한 침해 공격이 북한의 소행인 것으로 밝혀졌다. 해당 공격에서 OpenCarrot 이라는 Windows 백도어를 사용하였으며, 이메일 등을 통해 유포된 것으로 전해진다. 백도어는 비정상적인 인증 과정을 통해 시스템에 접근하고, 시스템에 설치되면 다양한 악성 동작을 수행한다. OpenCarrot 백도어의 경우, 아래의 그림과 같이 복잡한 페이로드를 통해 사용자 PC에 설치된다. 해당 파일은 시스템 파일에 인젝션하여 바이너리를 다운로드하고, 다운로드된 바이너리를 통해 최종적으로 OpenCarrot 백도어가 생성된다. 해당 파일이 실행되면, 시스템 폴더에 실행 파일 중에서 UAC 권한 상승이 필요없는 파일을 대상으로 프로세스를 생성하여 코드 인젝션..

Juniper 제품 보안 업데이트 권고

개요 Juniper 사는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Junos OS 23.2R1 및 이후 버전 참고자료 https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US

취약점 정보 2023.08.23

Outlook 사용자를 대상으로 유포되는 ORPC 백도어 악성코드

최근 “Bitter” 해커 그룹의 새로운 공격 도구인 “ORPC” 백도어가 발견됐다. 해당 백도어는 전자 메일 서비스 Outlook 사용자를 대상으로 유포되며, Microsoft Office의 구성요소 중 하나인 “OLMAPI32.DLL” 파일로 위장한다. 해당 DLL은 Outlook 실행 시 로드되는 모듈로 사용자가 Outlook을 실행하면, 백도어는 해당 DLL을 하이재킹해 대신 로드된 후 악성 동작을 수행한다. “ORPC” 백도어는 먼저 작업 스케줄러에 Outlook을 주기적으로 실행하는 새로운 작업을 추가해 지속성을 획득한다. 해당 작업은 [그림 1]과 같이 “Miscrosoft Update”라는 이름으로 등록돼 정상 작업처럼 위장한다. 이후, 감염된 PC의 프로세스 목록과 시스템 정보를 수집한다..