2021.05.04

마이크로소프트 방정식 편집기 취약점을 악용하는 로얄로드 공격 현황…사이버리즌

Samira Sarraf | CSO
로얄로드(RoyalRoad) 백도어 변종이 러시아 기반의 방위산업체에 대한 스피어피싱 공격에서 확인됐다.
 
ⓒ Getty Images Bank

사이버리즌 녹터너스(Cybereason Nocturnus) 팀의 연구진은 이전에 문서화되지 않은 백도어를 전달하는 새로운 로얄로드 공격을 발견했다. 이 연구진은 러시아에 기반한 방위산업체를 표적으로 한 공격을 발견했을 때, 로얄로드의 최근 개발 상황을 추적해왔다. 


로얄로드, 러시아 방위산업체를 표적으로 한 스피어피싱 공격에 사용 

이 사례에서 스피어피싱 공격의 표적은 러시아 해군을 위해 핵 잠수함을 설계하는 러시아 방위산업체인 루빈설계국(Rubin Design Bureau)에서 근무하는 총책임자였다. 

초기 감염 백터를 전달하는 데 사용된 이메일은 수중 무기를 설계하는 국가 연구 센터인 상트페테르부르크에 있는 지드로프리보르(Gidropribor)에서 잠수함 설계센터인 루빈설계국의 '존경하는 총책임자 이고르 블라디미로비치'에게 보내졌다. 


로얄로드 변종의 작동 방식 

연구팀은 로얄로드를 CVE-2017-11882, CVE-2018-0798 및 CVE-2018-0802 등 마이크로소프트 방정식 편집기의 취약점을 이용한 무기화된 RTF 문서를 생성하는 도구로 정의했다. 마이크로소프트의 방정식 편집기는 이전 버전의 워드에 포함됐으나, 보안 문제로 인해 2018년 1월 업데이트를 통해 모든 워드 버전에서 제거됐다. 

로얄로드 웨포나이저(RoyalRoad Weaponizer)는 8.t Dropper/RTF 익스플로잇 빌더로도 알려져 있다. 이 변종은 인코딩된 페이로드를 알려진 ‘8.t’ 파일에서 새 파일 이름 ‘e.o’로 변경된 것으로 분석됐다. RTF 문서를 열고 실행하면 마이크로소프트 워드 추가 기능 파일이 마이크로소프트 워드 시작 폴더에 놓이면서, 자동 실행 지속성 탐지를 우회하는 데 사용된다. RTF는 2007로 타임 스탬프가 찍혀 있는데, 이것은 탐지되지 않는 데 사용되는 또 다른 기법이다. 

사이버리즌 녹터너스 팀에 따르면, 이 새로운 변종은 이전에 문서화되지 않은 포트도어(PortDoor)라는 백도어를 삭제하는데, 이는 정찰, 대상 프로파일링, 추가 페이로드 전달, 권한 상승, 프로세스 조작, 정적 탐지 바이러스 백신 회피, 1바이트 XOR 암호화, AES 암호화 데이터 유출을 포함해 여러 기능을 가진 악성코드다. 연구진은 더 많은 새로운 변종이 개발될 것이라고 예상했다. 

연구진은 이 백도어의 유래를 파악할만한 충분한 정보를 갖고 있지 않지만, “이 블로그에서 분석된 새로운 악성코드 샘플의 배경에는 위협 행위자와 상당히 유사점을 공유하는 중국 APT 그룹이 몇 개 있다”라고 말했다. 구체적으로 이전에 톤토팀(Tonto Team), TA428 및 랭커(Rancor) 위협 행위자들이 사용했던 헤더 인코딩을 포함하고 있었다. editor@itworld.co.kr


2021.05.04

마이크로소프트 방정식 편집기 취약점을 악용하는 로얄로드 공격 현황…사이버리즌

Samira Sarraf | CSO
로얄로드(RoyalRoad) 백도어 변종이 러시아 기반의 방위산업체에 대한 스피어피싱 공격에서 확인됐다.
 
ⓒ Getty Images Bank

사이버리즌 녹터너스(Cybereason Nocturnus) 팀의 연구진은 이전에 문서화되지 않은 백도어를 전달하는 새로운 로얄로드 공격을 발견했다. 이 연구진은 러시아에 기반한 방위산업체를 표적으로 한 공격을 발견했을 때, 로얄로드의 최근 개발 상황을 추적해왔다. 


로얄로드, 러시아 방위산업체를 표적으로 한 스피어피싱 공격에 사용 

이 사례에서 스피어피싱 공격의 표적은 러시아 해군을 위해 핵 잠수함을 설계하는 러시아 방위산업체인 루빈설계국(Rubin Design Bureau)에서 근무하는 총책임자였다. 

초기 감염 백터를 전달하는 데 사용된 이메일은 수중 무기를 설계하는 국가 연구 센터인 상트페테르부르크에 있는 지드로프리보르(Gidropribor)에서 잠수함 설계센터인 루빈설계국의 '존경하는 총책임자 이고르 블라디미로비치'에게 보내졌다. 


로얄로드 변종의 작동 방식 

연구팀은 로얄로드를 CVE-2017-11882, CVE-2018-0798 및 CVE-2018-0802 등 마이크로소프트 방정식 편집기의 취약점을 이용한 무기화된 RTF 문서를 생성하는 도구로 정의했다. 마이크로소프트의 방정식 편집기는 이전 버전의 워드에 포함됐으나, 보안 문제로 인해 2018년 1월 업데이트를 통해 모든 워드 버전에서 제거됐다. 

로얄로드 웨포나이저(RoyalRoad Weaponizer)는 8.t Dropper/RTF 익스플로잇 빌더로도 알려져 있다. 이 변종은 인코딩된 페이로드를 알려진 ‘8.t’ 파일에서 새 파일 이름 ‘e.o’로 변경된 것으로 분석됐다. RTF 문서를 열고 실행하면 마이크로소프트 워드 추가 기능 파일이 마이크로소프트 워드 시작 폴더에 놓이면서, 자동 실행 지속성 탐지를 우회하는 데 사용된다. RTF는 2007로 타임 스탬프가 찍혀 있는데, 이것은 탐지되지 않는 데 사용되는 또 다른 기법이다. 

사이버리즌 녹터너스 팀에 따르면, 이 새로운 변종은 이전에 문서화되지 않은 포트도어(PortDoor)라는 백도어를 삭제하는데, 이는 정찰, 대상 프로파일링, 추가 페이로드 전달, 권한 상승, 프로세스 조작, 정적 탐지 바이러스 백신 회피, 1바이트 XOR 암호화, AES 암호화 데이터 유출을 포함해 여러 기능을 가진 악성코드다. 연구진은 더 많은 새로운 변종이 개발될 것이라고 예상했다. 

연구진은 이 백도어의 유래를 파악할만한 충분한 정보를 갖고 있지 않지만, “이 블로그에서 분석된 새로운 악성코드 샘플의 배경에는 위협 행위자와 상당히 유사점을 공유하는 중국 APT 그룹이 몇 개 있다”라고 말했다. 구체적으로 이전에 톤토팀(Tonto Team), TA428 및 랭커(Rancor) 위협 행위자들이 사용했던 헤더 인코딩을 포함하고 있었다. editor@itworld.co.kr


X