[정보보안] 사이버 위협 동향 보고서(2023년 하반기)의 키워드 요약

KISA 보호나라&KrCERT/CC 사이트의 “알림마당 > 보고서/가이드”에 등록된 “사이버 위협 동향 보고서(2023년 하반기)“의 키워드를 요약한 것입니다.

Part.1 사이버 위협 동향
1-1. 침해사고 현황
1-2. IoT 봇넷 위협 동향

국내에서도 무봇(Moobot), 가프짓(Gafgyt), 에코봇(echobot) 등 기존 미라이 봇넷 뿐만 아니라 최근 제로데이를 이용하는 인펙티드슬러스(InfectedSlurs)라는 미라이 봇넷 활동까지 탐지되고 있다. 대부분의 미라이(Mirai) 봇넷 변종들이 원데이 또는 제로데이 취약점을 적극 활용하여 봇넷 규모를 확장하는 방식을 사용하고 있다.
CVE-2017-17215 (Huawei Home Device Upgrade exploit) 취약점은 공격자가 악성 패킷을 유니버설 플러그 앤 플레이(UPnP) 서비스인 37215 포트로 전송하여 사용자 인증 과정없이 공격을 시작할 수 있는 원격코드실행(RCE) 기능을 탑재하고 있다.

1-3. 보안취약점 및 신고포상제 동향
1-4. 라자루스(Lazarus) 공격그룹의 특징 및 전망

라자루스는 국내 그룹웨어 및 관리 소프트웨어에 대한 높은 이해를 통해 제로데이 익스플로잇 코드를 개발하고 적극적으로 공격에 활용하고 있으며, 워터링홀 및 스피어피싱 등 공격표면(Attack Surface)을 침투하는 기법을 사용한다. 또한 공격을 위한 인프라는 다계층 수직구조의 웹 기반 명령제어 체계를 구축하여 활용하는 것이 특징이다. 악성코드의 특징으로는 악성코드가 동작하기 위해 파라미터 또는 인자가 필요하며 정상 파일과 서비스 이름으로 위장하기도 한다. 올해 악용된 라자루스의 악성코드는 레지스트리에 저장된 원격제어 악성코드를 메모리에 인젝션하여 실행시키는 것이 특징이었다.

Part.2 전문가 컬럼
2-1. 제로데이 취약점을 악용한 랜섬웨어 (Cl0p) 공격, MOVEit Transfer

록빗(Lockbit)과 블랙캣(BlackCat) 등과 함께 서비스형 랜섬웨어(RaaS, Ransomware as a Service)의 대표주자인 클롭 (Cl0p) 랜섬웨어의 MOVEit 공급망 공격은 MOVEit Transfer SQL Injection 취약점을 사용했다.
블랙캣(BlackCat 또는 ALPHV) 랜섬웨어는 `21년 11월 전 세계 처음으로 발견됐으며, RUST 프로그래밍 언어를 기반으로 한 최초의 랜섬웨어로 백신 탐지 확률이 낮으며 빠르게 암호화가 가능하고 다양한 운영체제 플랫폼에서 사용할 수 있는 특징이 있다.

2-2. 사용자가 많은 MS 문서를 악용하는 악성코드 유포 방식의 변화

인포스틸러(InfoStealer)는 정보 탈취형 악성코드로서 웹브라우저나 이메일 클라이언트 프로그램에 저장되어있는 계정 정보나 가상 화폐 지갑 주소와 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다. 다운로더는 추가 악성코드를 다운로드하는 유형으로 실질적으로는 주로 인포스틸러나 백도어(Backdoor) 유형의 악성코드를 설치한다.
일반적으로 인포스틸러 악성코드는 정상 프로그램을 다운로드 하는 페이지로 위장한 악성사이트를 유포 경로로 삼거나, 피싱 메일의 첨부파일로 유포된다. 작년 상반기까지는 Word, Excel 과 같은 MS Office 문서를 통해 해당 유형의 악성코드가 활발히 유포되는 경향을 보여왔으나 최근에는 윈도우 도움말 파일(CHM) 및 윈도우 바로가기 파일(LNK)과 같은 포맷의 유형으로
변경되어 유포되고 있다.

Part.3 기술 보고서
3-1. TTPs #10 : Operation GoldGoblin

개발사 침투를 통한 소스코드 탈취(공급망 공격), 언론사 해킹을 통한 타겟형 워터링홀 공격 및 취약점이 존재하는 보안 소프트웨어 설치(Rracket Downloader), 그룹웨어 및 호스팅 서비스 해킹을 통한 명령제어지 악용 등 사이버 공격을 통해 소스코드와 자원을 탈취하고 악용하는 Lazarus 그룹의 모습은 탐욕스러운 고블린을 떠올리게 한다.

3-2. 정부 보고서 위장 MS워드 제로데이 취약점 상세 분석

악성코드를 유포시키는 방법에는 사용자가 자주 접속하는 사이트를 통한 워터링홀 기법, 악성코드를 첨부하여 감염시키는 스피어 피싱(Spear Phishing) E-Mail 및 SNS 피싱 기법, PMS 등 공급망 서버를 악용한 악성코드 유포 기법 등이 존재한다.
(1단계) 원격지에서 워드 템플릿 파일을 다운로드 받아 설정하는 기능을 사용하여 RTF(Rich Text Format) 다운로드(Remote Template Injection 공격)
(2단계) RTF 파일은 OLE2Link 원격코드실행 취약점(CVE-2017-0199)을 통해 해커 사이트에서 악성스크립트 다운로드
(3단계) IE JScript9 엔진에서 발생하는 Type Confusion 취약점(CVE-2022-41128)을 통해 쉘코드 실행

3-3. MS Outlook 권한상승 제로데이 취약점 (CVE-2023-23397) 상세 분석

Outlook 이메일에 있는 자동 알림 설정으로 인해 발생하는 것으로 알림 음원 파일(.wav 등)을 특정 SMB서버에서 다운 로드 받도록 설정할 때 발생한다.
피해자가 메일을 열람한 것만으로도 크레덴셜(Credential) 탈취가 가능하여 피해자 시스템 망에 접근할 수 있어 APT 공격을 수행하는 해커에게는 악용하기 좋은 취약점이다. 해당 취약점은 모든 버전의 Windows용 Microsoft Outlook만 영향을 받는다.
YARA를 사용하여 CVE-2023-23397 취약점을 탐지하는 패턴과 의심되는 파일(*.msg)이 악성파일인지 확인하는 방법을 제공합니다.
MS Outlook 제로 데이 취약점은 이메일을 열람만 하더라도 익스플로잇이 가능하여 파급도가 높았다. 이메일 열람으로 유출된 NTLM(NT Lan Manager) 해쉬 값이 해커에게 전송되어 비인가된 인증 공격(Pass the Hash 공격)에 활용될 수 있었다. 비인가된 인증 공격(Pass the Hash 공격)은 취약점을 이용한 공격 뿐 아니라 일반적인 APT 공격에도 많이 악용되는 기법이다. 따라서 기업 보안
담당자 입장에서는 NTLM 해쉬값이 유출 되지 않도록 아웃바운드 정책(SMB 445 port)을 제한하거나 NTLMv2 해쉬 값을 이용한 비정상적인 로그인을 모니터링하고 탐지하는 체계가 필요하다.