2021.10.19

중국 APT 그룹 아이언허스키, 윈도우 서버 권한상승 제로데이 악용

Lucian Constantin | CSO
아이언허스키 공격 그룹은 이 취약점을 악용해 미스터리스네일(MysterySnail)이라는 새로운 원격 셸 트로이목마를 배포했다. 
 
ⓒ Getty Images Bank

10월 12일 마이크로소프트가 패치한 취약점 가운데 하나는 적어도 8월부터 중국 사이버 스파이 그룹에 의해 악용됐다. 이번 공격은 IT 기업, 방산업체, 외교 기관을 공격 대상으로 삼았다.

카스퍼스키 랩 연구진에 따르면, 익스플로잇과 해당 C&C 인프라와 함께 배포된 악성코드는 2017년부터 활동 중인 아이언허스키로 추적되는 알려진 중국 APT 그룹과 연관이 있으며, 이는 2012년 다른 중국 기반의 APT 활동과도 관련이 있다. 


윈도우 GDI 드라이버의 권한 상승 취약점 

아이언허스키 그룹은 과거 취약점이었던 윈도우 GDI(Graphics Device Interface)의 일부인 시스템 드라이버 Win32k.sys에서 이전에 알려지지 않은 취약점을 악용하는 것으로 관찰됐다. CVE-2021-40449로 추척되는 이 결함은 지원되는 모든 윈도우 버전과 더 이상 지원하지 않는 버전 모두에 영향을 미치며, 시스템 권한으로 코드를 실행할 수 있다. 

이 취약점은 권한 상승 취약점이기 때문에 대상 시스템을 제어하는 데만 사용되며, 원래의 진입 방법이 아니다. 공격에 사용된 익스플로잇은 2016년에 패치된 다른 Wink32k 취약점(CVE-2016-3309)에 대한 공개 익스플로잇 코드를 차용한다. 윈도우 비스타 이후 모든 버전의 윈도우를 지원하도록 작성된 익스플로잇에도 불구하고 윈도우 서버에서만 사용되는 것으로 나타났다. 

카스퍼스키 연구진은 이 보고서에서 “발견된 익스플로잇에서 공격자는 GDI 팔레트 개체를 사용해 원하는 메모리 상태를 달성할 수 있고, 커널 함수에 대한 단일 호출을 사용해 커널 메모리를 읽고 쓰기 위한 프리미티브(Primitive)를 구축할 수 있다”라고 설명했다. 
이 단계는 공격 프로세스가 미디엄 IL로 실행되므로 공개적으로 알려진 기술을 사용해 현재 로드된 드라이버/커널 모듈의 커널 주소를 유출할 수 있기 때문에 쉽게 수행할 수 있다. 


미스터리스네일 RAT 

공격자들은 권한 상승 익스플로잇을 사용해 원격 셸 트로이목마(remote shell Trojan)를 배포했는데,카스퍼스키는 이를 미스터리스네일(MysterySnail)이라고 명명했다. 공격자는 이 악성코드 프로그램을 사용해 윈도우 셸 명령을 실행하고, 디스크 및 폴더에 대한 정보를 수집하고, 파일을 삭제, 읽기, 업로드하고, 프로세스를 제거할 수 있다. 

이 악성코드 샘플은 8월 10일 바이러스토탈(VirusTotal) 데이터베이스에 처음 업로드됐으며, 8.29MB라는 비정상적인 큰 크기로 눈에 띈다. 이는 악성코드가 암호화된 통신에 사용하는 오픈SSL 라이브러리의 독립 실행형 버전과 프로세스 클럭 사이클만 낭비하고 에뮬레이션과 바이러스 백신 탐지를 회피하는 2가지 큰 기능을 번들로 제공하기 때문이다. 

또 다른 흥미로운 기능은 C&C 서버에 대한 직접 연결이 차단된 경우, 악성코드가 프록시 서버를 통해 통신 터널링을 시도한다는 것이다.  Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer” 레지스트리 키 아래의 값을 열거해 이를 수행한다. 

연구진은 “이 미스터리스네일 RAT의 분석은 분석된 악성코드의 다른 변종을 사용하는 공격을 발견하는데, 도움을 줬을 뿐만 아니라 6개월 동안 이 도구에 대한 코드 변경 사항을 연구하고 문서화하는 데 도움이 됐다”라고 말했다. 또한 KTAE(Kaspersky Threat Attribution Engine)의 도움과 미스터리스네일 RAT의 초기 변종 발견을 통해 아이언허스키 공격자의 악성코드와 직접적으로 코드와 기능이 겹치는 것을 발견할 수 있었다고 덧붙였다.  

아이언허스키는 2017년부터 사이버 스파이 활동을 해왔으며, 이전 목표 선정은 지정학적 의제를 제시했다. 예를 들어, 이 공격 그룹은 2018년 국제통화기금(IMF)과의 회의에 앞서, 공동의 표적이 아닌 몽골 정부기관을 표적으로 삼았다. 그 전에 이 그룹은 러시아 방산업체를 표적으로 삼은 것으로 나타났다. 당시 중국인 APT 활동의 전형이었던 플러그X(PlugX), 포이즌아이비(PoisonIvy)와 같은 기존 트로이목마를 사용하고 있었다. editor@itworld.co.kr


2021.10.19

중국 APT 그룹 아이언허스키, 윈도우 서버 권한상승 제로데이 악용

Lucian Constantin | CSO
아이언허스키 공격 그룹은 이 취약점을 악용해 미스터리스네일(MysterySnail)이라는 새로운 원격 셸 트로이목마를 배포했다. 
 
ⓒ Getty Images Bank

10월 12일 마이크로소프트가 패치한 취약점 가운데 하나는 적어도 8월부터 중국 사이버 스파이 그룹에 의해 악용됐다. 이번 공격은 IT 기업, 방산업체, 외교 기관을 공격 대상으로 삼았다.

카스퍼스키 랩 연구진에 따르면, 익스플로잇과 해당 C&C 인프라와 함께 배포된 악성코드는 2017년부터 활동 중인 아이언허스키로 추적되는 알려진 중국 APT 그룹과 연관이 있으며, 이는 2012년 다른 중국 기반의 APT 활동과도 관련이 있다. 


윈도우 GDI 드라이버의 권한 상승 취약점 

아이언허스키 그룹은 과거 취약점이었던 윈도우 GDI(Graphics Device Interface)의 일부인 시스템 드라이버 Win32k.sys에서 이전에 알려지지 않은 취약점을 악용하는 것으로 관찰됐다. CVE-2021-40449로 추척되는 이 결함은 지원되는 모든 윈도우 버전과 더 이상 지원하지 않는 버전 모두에 영향을 미치며, 시스템 권한으로 코드를 실행할 수 있다. 

이 취약점은 권한 상승 취약점이기 때문에 대상 시스템을 제어하는 데만 사용되며, 원래의 진입 방법이 아니다. 공격에 사용된 익스플로잇은 2016년에 패치된 다른 Wink32k 취약점(CVE-2016-3309)에 대한 공개 익스플로잇 코드를 차용한다. 윈도우 비스타 이후 모든 버전의 윈도우를 지원하도록 작성된 익스플로잇에도 불구하고 윈도우 서버에서만 사용되는 것으로 나타났다. 

카스퍼스키 연구진은 이 보고서에서 “발견된 익스플로잇에서 공격자는 GDI 팔레트 개체를 사용해 원하는 메모리 상태를 달성할 수 있고, 커널 함수에 대한 단일 호출을 사용해 커널 메모리를 읽고 쓰기 위한 프리미티브(Primitive)를 구축할 수 있다”라고 설명했다. 
이 단계는 공격 프로세스가 미디엄 IL로 실행되므로 공개적으로 알려진 기술을 사용해 현재 로드된 드라이버/커널 모듈의 커널 주소를 유출할 수 있기 때문에 쉽게 수행할 수 있다. 


미스터리스네일 RAT 

공격자들은 권한 상승 익스플로잇을 사용해 원격 셸 트로이목마(remote shell Trojan)를 배포했는데,카스퍼스키는 이를 미스터리스네일(MysterySnail)이라고 명명했다. 공격자는 이 악성코드 프로그램을 사용해 윈도우 셸 명령을 실행하고, 디스크 및 폴더에 대한 정보를 수집하고, 파일을 삭제, 읽기, 업로드하고, 프로세스를 제거할 수 있다. 

이 악성코드 샘플은 8월 10일 바이러스토탈(VirusTotal) 데이터베이스에 처음 업로드됐으며, 8.29MB라는 비정상적인 큰 크기로 눈에 띈다. 이는 악성코드가 암호화된 통신에 사용하는 오픈SSL 라이브러리의 독립 실행형 버전과 프로세스 클럭 사이클만 낭비하고 에뮬레이션과 바이러스 백신 탐지를 회피하는 2가지 큰 기능을 번들로 제공하기 때문이다. 

또 다른 흥미로운 기능은 C&C 서버에 대한 직접 연결이 차단된 경우, 악성코드가 프록시 서버를 통해 통신 터널링을 시도한다는 것이다.  Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer” 레지스트리 키 아래의 값을 열거해 이를 수행한다. 

연구진은 “이 미스터리스네일 RAT의 분석은 분석된 악성코드의 다른 변종을 사용하는 공격을 발견하는데, 도움을 줬을 뿐만 아니라 6개월 동안 이 도구에 대한 코드 변경 사항을 연구하고 문서화하는 데 도움이 됐다”라고 말했다. 또한 KTAE(Kaspersky Threat Attribution Engine)의 도움과 미스터리스네일 RAT의 초기 변종 발견을 통해 아이언허스키 공격자의 악성코드와 직접적으로 코드와 기능이 겹치는 것을 발견할 수 있었다고 덧붙였다.  

아이언허스키는 2017년부터 사이버 스파이 활동을 해왔으며, 이전 목표 선정은 지정학적 의제를 제시했다. 예를 들어, 이 공격 그룹은 2018년 국제통화기금(IMF)과의 회의에 앞서, 공동의 표적이 아닌 몽골 정부기관을 표적으로 삼았다. 그 전에 이 그룹은 러시아 방산업체를 표적으로 삼은 것으로 나타났다. 당시 중국인 APT 활동의 전형이었던 플러그X(PlugX), 포이즌아이비(PoisonIvy)와 같은 기존 트로이목마를 사용하고 있었다. editor@itworld.co.kr


X