취약점

Cobalt Strike와 MS Exchange Server 취약점을 이용한 침해사례 포렌식 분석

안랩 ASEC 분석팀은 이전 블로그들을 통해 국내 기업을 타겟으로 유포중인 내용에 대해서도 언급한 바 있듯, 최근 보안 이슈 중 하나인 Cobalt Strike의 활동을 지속해서 모니터링 하고 있다. (본 게시글 하단에 이전 블로그 링크 존재) 모니터링 중 특정 IP에서 7월 15일과 8월 2일에 Cobalt Strike 활동이 발생했음을 감지하고 해당 IP의 고객사에 분석을 권하여 포렌식 분석을 수행했다. 해당 침해 시스템에서 공격자의 행위를 추적한 결과, 지난 3월 유행한 MS Exchange Server 취약점을 통해 침해된 것으로 확인됐다. MS Exchange Server 취약점 4개는 ProxyLogon이라 불리며, 지난 3월에…

북한 연관 그룹 추정 PDF 문서를 이용한 APT 공격

PDF 문서를 이용한 북한 연관 그룹 소행으로 추정되는 타깃형 공격이 확인되었다. 공격 그룹은 김수키(Kimsuky) 혹은 탈륨(Thallium)으로 추정되지만, 이를 모방한 공격 그룹의 소행일 가능성도 있다. 관련 내용은 이미 언론에 보도된 내용이지만, 본 블로그에서는 공개되지 않은 IOC와 취약점 발현 환경 등의 분석 정보를 추가로 공개한다. 공격자는 PDF 문서 파일을 공격 미끼로 이용하였다. Adobe Acrobat 프로그램 취약점을 통해 PDF 문서에 포함되어 있는 악성 JavaScript를 실행하고, 시스템 메모리에 악성 EXE 파일 – 파일 번호 [2], [4]을 실행한다. Use-After-Free 취약점 CVE-2020-9715 을 이용한 것으로 보고…

국내 MS Exchange Server 취약점 공격 정황 포착 (2)

ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다. MS Exchange Server 취약점에 의해 생성되는 악성 DLL 파일의 경로는 아래와 같으며, 자사에서는 다수의 국내 메일 서버가 해당 취약점 공격을 통해 감염된 상태인 것을 확인하였다. 악성 DLL 생성 경로– Microsoft.NET\Framework64\*\Temporary…

국내 MS Exchange Server 취약점 공격 정황 포착

Microsoft 는 지난 3월 2일 MS Exchange Server 와 관련된 아래 7 개의 원격 명령 실행 취약점을 보고하였다. 해당 취약점은 Exchange Server 에 대한 인증, 권한 획득, 파일 쓰기 등 을 통해 임의의 명령을 실행할 수 있게 된다. 또한 해당 공격을 통해 사용자 정보 탈취 및 악성 파일 설치 등의 추가 악성 행위가 가능하며, HAFNIUM 그룹에 의해 활발하게 악용 중이다. MS Exchange Server 취약점 보고https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ MS Exchange Server 취약점– CVE-2021-26855– CVE-2021-26857– CVE-2021-26858– CVE-2021-27065– CVE-2021-26412– CVE-2021-26854– CVE-2021-27078 ASEC 분석팀은 최근 해당…

한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격

ASEC 분석팀은 한글문서에 플래시 취약점(CVE-2018-15982) 개체를 삽입한 형태의 새로운 공격 정황을 자사 ASD(AhnLab Smart Defense) 인프라를 통해 확인하였다. 최근까지 공격자가 악성 OLE 개체를 한글문서에 삽입하여 유포하는 방식은 여러차례 블로그를 통해서 소개(https://asec.ahnlab.com/ko/1354, https://asec.ahnlab.com/ko/1400)한 바 있다. 이번에 확인된 플래시 취약점 활용한 사례를 통해서 공격자는 VBS(Visual Basic Script), JS(JavaScript) 뿐만 아니라 SWF(Shock Wave Flash) 등 다양한 스크립트 형태의 포맷들을 한글 문서 내에 OLE 개체로 삽입하여 유포한다는 것을 알 수 있다. 한글문서는 다음과 같은 파일명을 통해 유포된 것으로 확인 되었다. 통일한국포럼 – 참가자 사례비…