PowerPool그룹 - 8월27일 발견된 윈도우 취약점 코드를 수정하여 미국, 영국, 독일, 우크리아니, 칠레, 인도, 러시아, 필리핀, 폴란드 소규모 유저들을 공격
<공격 방법>
공식 크롬 어플리케이션 업데이트 파일을() C:\Program Files(x86)\Google\Update\GoogleUpdate.exe) 자신들의 악성코드로 덮어씀
PowerPool그룹은 초창기 공격 대상에게 악성코드를 심은 이메일을 보내는 공격을 했던 것으로 보임.
지난 5월 SANS 포럼에서 다루어진 Symbolic 링크(.slk)를 이용한 스팸을 이용한 악성코드 유포 또한 이 그룹에 의한 것으로 밝혀짐.
<공격 패턴>
1) 정찰을 목적으로한 1단계 백도어를 포함한 이메일 전달. 감염된 기기가 공격자의 공격에 관심을 갖게 됨 -> 악성코드가 2단계 백도어(시스템 명령어를 실행이 가능, 파일 업로드 다운로드 가능, 프로세스 죽이기 폴더 리스팅 등이 가능)를 다운로드함
2) 2단계 백도어를 통해 감염된 기기들이 다운로드한 파일은 공격자가 네트워크 상 이동이 가능하도록 도와주는 오픈 소스의 툴 들임. PowerDump, PowerSploit, SMBExec, Quarks PwDump, FireMaster.
출처: https://www.securityweek.com/windows-zero-day-exploited-targeted-attacks-powerpool-group
'Vulnerability' 카테고리의 다른 글
| [2018.10.25] Windows 제로데이 무작위 파일 삭제 취약점 (0) | 2019.03.06 |
|---|---|
| [2018.10.23] libssh 취약점 해당제품 및 모델 (0) | 2019.03.06 |
| [2018.10.22] jQuery 파일 업로드 플러그인 취약점(CVE-2018-9206) (0) | 2019.03.05 |
| [2018.10.17] iPhone 암호 우회 취약점 (0) | 2019.03.05 |
| [2018.10.10] Dell 서버 취약점 (0) | 2019.03.05 |