Palo Alto Network 보안 전문가, Inception 그룹 공격 경고
리서치 원문 : https://researchcenter.paloaltonetworks.com/2018/11/unit42-inception-attackers-target-europe-year-old-office-vulnerability/
<Inception 활동 이력>
2014년 : 자체 제작 악성코드 사용해 전세계 대상 활동. 특히 러시아 공격에 집중
2018년 10월 : 2017년 11월에 패치 된 Microsoft 취약점(CVE-2017-11882)이용해 다양한 유럽 유저들을 공격한 것이 포착됨.
이번 공격에는 새로운 PowerShell 백도어(POWERSHOWER라고도 불림)를 사용한 것으로 알려짐.
악성 문서와 악성 페이로드를 전송하기 위한 원격 템플릿을 이용함.
과거패턴 : 동일한 악성 문서를 이용한 공격을 함. 최초 접근 시 정착을 위한 스피어 피싱 문서를 포함한 2개의 악성 문서를 이용
<Inception 그룹 공격방법>
MS Word는 인터넷이나 파일쉐어 등의 외부에서 호스팅되는 템플릿을 로딩하는 것을 허용함.
템플릿이 로딩 됨과 동시에 문서가 열리고, 공격자는 이러한 기능을 악의적으로 사용함.
최초 악성 문서는 직접적으로 악성 목표를 띄지 않는다는 장점들을 이용하여 지난 4년간 원격 템플릿 공격방법을 이용.
이러한 방법은 공격자가 공격 대상으로부터 받은 초기 데이터를 기반으로 피해자에게 악성 콘텐츠를 배포할 수 있게 함.
(이는 호스팅 서버가 다운되면 악성코드 연구자들이 공격에 대한 연구를 하기 힘들게 함)
최근 공격에서 사용된 악성 문서는 HTTP를 통해 원격 콘텐츠를 획득하려는 시도를 함.
악성 템플릿은 CVE-2012-1856과 CVE-2017-11882 공격 구문 POWERSHOWER를 포함
<POWERSHOWER>
최초 정찰의 발판으로 사용되고 좀 더 완성도 높은 기능을 포함한 2차 페이로드 실행하고 다운로드를 도움.
파일과 레지스트리 키를 포함한 dropper 프로세서로부터 상당량의 포렌직 증거를 지울 수 있음
(-> 이 또한 공격에 대한 분석 시, 정교하고 복잡한 악성 코드를 숨기는데 도움이 됨)
<관련 CVE코드>
CVE-2017-11882, CVE-2012-1856
PoC:
CVE-2017-11882 : https://github.com/embedi/CVE-2017-11882
CVE-2012-1856 : https://blog.ropchain.com/2015/07/27/analyzing-vupens-cve-2012-1856/
출처 : https://www.securityweek.com/inception-attackers-combine-old-exploit-and-new-backdoor
'Incident Report' 카테고리의 다른 글
| [2018.11.14] 나이지리아 ISP, Google 데이터 센터 트래픽 하이재킹 (0) | 2019.03.12 |
|---|---|
| [2018.11.13] WordPress GDPR 준수 플러그인 취약점을 이용한 취약 웹사이트 공격 발생 (0) | 2019.03.12 |
| [2018.11.08] China Telecom 계속적으로 인터넷 트래픽을 고의로 잘못 다이렉트ㅎ (0) | 2019.03.08 |
| [2018.11.07] 파키스탄, 해킹으로 8000명 계좌의 돈 사라져 (0) | 2019.03.08 |
| [2018.11.07] 해커 그레이웨어, 가짜 로그인 페이지 활용 텔레그램, 인스타그램 사용 이란인 목표 공격 (0) | 2019.03.08 |