해외 보안 트렌드

요약

- Akamai는 지난 주부터 발생하고 있는 DDoS 공격에 대해 조사 중이며, Fancy Bear(APT28) 와 Armada Collective 해킹 그룹이라 주장하는 

  단체가 DDoS 협박 캠페인을 벌이고 있다고 밝힘.

- 이러한 공격은 과거 DDoS 협박 그룹이 사용했던 수법과 매우 유사. Akamai SIRT팀은 잘 알려진 해킹 그룹을 사칭한 카피캣의 

  소행으로 추정

- 공격 타겟 분야 : 소매, 금융, 은행 등을 포함한 다양한 분야

- 협박 메일 :

① 내용 : Bitcoin 을 지불하지 않을 시, 협박 사실을 외부(미디어) 등에 공개 할 시, 즉시 DDoS 공격

공격으로 인해 타겟 그룹의 평판에 아주 큰 영향을 미칠 것이라고 강조

2Tbps 상당의 DDoS 공격이 가능하다고 주장

② 요구금액:

Armada Collective 주장 그룹 : 5 BTC ~ 10 BTC (지불 기한 후 1일당 5 BTC 증액)

Fancy Bear 주장 그룹: 20 BTC ~ 30 BTC (지불 기한 후 1일당 10 BTC 증액)

금액은 매우 유동적임.

※     메일 내용은 2019년 11월에 성행했던 DDoS 협박 캠페인 내용과 유사함.

(Cozy Bear(ATP29) 그룹 사칭 DDoS 협박 캠페인으로 최소 2 BTC 요구.

Cozy Bear 그룹은 DDoS 공격활동이 잘 알려지지 않은 그룹으로 당시에도 사칭 단체는 여론이 우세했음)

③ 공격 히스토리 : Akamai 고객 중 50 Gb/sec, UDP 기반, ARMS 프로토콜 리플렉션 공격 발생.

영향성

협박메일을 받을 시 절대 요구사항에 응하지 말 것

(비트코인 지불로 공격이 중단 될지 미지수이며 1차 요구에 응함으로써 재 협박 위험에 노출 될 수 있음)

참고자료

출처 : hxxps://malware.news/t/ransom-demands-return-new-ddos-extortion-threats-from-old-actors-targeting-finance-and-retail/42492

2019년 11월 캠페인

: hxxps://blogs.akamai.com/sitr/2019/11/fake-cozy-bear-group-making-ddos-extortion-demands.html

요약

- Guardicore 연구진이 2018년 5월을 기점으로 MS-SQL 서버 사용 윈도우를 대상의 장기적 공격 트렌드 발견.

- 공격 형태 : 패스워드 무작위 대입 공격으로 시스템에 침투

→ 원격 명령어 실행이 가능하도록 서버 설정 변경, 

     다수의 백도어와 악성 모듈을 설치 (ex 원격 접근 툴(RAT), 모네로(XML), 볼라(VDS) 등의 가상화폐채굴기)

- 캠페인 이름 : the Vollgar 캠페인 (Vollar 가상화폐 이름 + 단어 Vulgar(저속한)를 합성해 명칭)

- 캠페인 규모 : 1일 평균 2000 ~ 3000대 이상의 DB 감염

- 캠페인 대상 : 헬스케어, 항공, IT, 통신, 고등 교육 분야 등을 포함한 다양한 산업 분야를 타겟.

- 최초 공격 : 2018년 5월 최초 발견 당시 감염된 것으로 추정된 약 120개 가량의 중국 소재 IP로부터 시작. 

     대부분의 IP가 짧은 기간 이용되는 단기 공격 활용에 그쳤으나, 일부 공격 IP 는 3개월 이상 지속적인 공격 악용되기도 함

- 감염 기간 : 60% - 2일 이하의 단기 공격에 이용됨 , 20% : 최소 1주 - 2주간 공격에 이용, 10% : 악성코드에 의해 재 감염 

- 대응 방법 : DB서버의 외부 노출 제한, 감염 시스템 탐지 스크립트(hxxps://github.com/guardicore/labs_campaigns/tree/master/Vollgar) 및 

                 IOC로 감염 여부 확인.

- IOC 

① Domain

a.vollar.ga

aa.vollar.ga

b.vollar.ga

c.vollar.ga

ca.vollar.ga

d.vollar.ga

da.vollar.ga

f.vollar.ga

h.vollar.ga

ja.vollar.ga

k.vollar.ga

m.vollar.ga

ma.vollar.ga

n.vollar.ga

na.vollar.ga

o.vollar.ga

oa.vollar.ga

ob.vollar.ga

s.vollar.ga

sa.vollar.ga

t.vollar.ga

ta.vollar.ga

v.vollar.ga

x.vollar.ga

xa.vollar.ga

z.vollar.ga

② IP

183.131.3.196

192.37.90.118

39.109.116.162

154.221.26.108

103.53.211.94

185.172.66.203

51.105.249.223   *Microsoft Limited UK

154.211.14.66

154.221.19.221

145.239.23.7

180.97.220.5

207.180.202.208

참고자료

출처 : hxxps://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

요약

- 독일 공영방송 Bayerischer Rundfunk(BR), 베트남 정부 지원 APT 그룹 오션로터스가 BMW 네트워크 해킹에 성공했다고 보도

- 공격 시기 : 지난 2019년 봄부터 시작된 것으로 추정하며, 지난 주 피해 시스템들을 격리 조치 및 공격자의 네트워크 접근을 차단함

- 공격 내용 : 보도 에 따르면 피해 컴퓨터에 코발트 스트라이크 툴 설치 성공. BMW 태국 지점으로 가장한 가짜 웹 사이트를 셋팅해 공격에 이용.

                 (현대자동차 공격에도 똑같이 가짜 웹 사이트를 사용했다 함)

- 피해 내용 : 익명의 IT 전문가에 따르면, 민감 정보는 유출 되지 않았으며, BMW 뭔휀 본사의 시스템에 접근 이력은 없음

- 오션로터스 추정 근거 : 코발트 스트라이크, 커스텀 멀웨어 - agent RUI, KerrDown 사용

- 언론 보도에 따른 각 사측의 대응 : 

BMW 측 답변 : 오션로터스 공격과 관련한 직접적인 언급은 하지 않았으나, 외부 비인가 접속에 대한 위험을 최소화하고, 

                    이를 신속하게 탐지 및 대응할 수 있도록 프로세스와 대응체계를 구축하고 있다는 원론적인 답변을 내놓음

현대 측 답변 : 답변에 응하지 않았다고 함

- 자동차 산업 타겟 공격 이유 : 

2019년 6월 베트남 자체 자동차 브랜드 Vinfast 런칭과 관련 된 것으로 추정. 

(오션로터스의 공격이 베트남의 자체 자동차 생산의 시작 시점부터 자동차 산업회사 타겟의 활발한 공격이 시작 됨.)

독일 회사들이 주요 공급원 이며, VInfast의 최초 2 모델의 라이센스를 BMW에서 가지고 있음. 프로덕션이 거의 100 독일산으로 봐도 무방

참고자료

출처 : hxxps://www.tagesschau.de/investigativ/br-recherche/bmw-hacker-101.html

hxxps://www.bleepingcomputer.com/news/security/bmw-infiltrated-by-hackers-hunting-for-automotive-trade-secrets/

hxxps://twitter.com/hatr/status/1202815789570633728

hxxps://twitter.com/cyb3rops/status/1202843110260252672

요약

- 11월 2일 누나부트준주가 랜섬웨어에 공격을 받았다고 공식 발표.

- 현재 모든 네트워크 사용이 중지 된 상태이며, 업무는 수기, 팩스, 전화 등으로 처리하고 있음

- 공개된 랜섬노트를 보아 Doppelpaymer 랜섬웨어에 감염된 것을 알 수 있음.

- 랜섬노트는 총 2일의 기한을 주며, 520만 달러를 요구 (네트워크 복수 비용에 들어갈 비용은 1800만 달러가 들 것으로 예상)

- 영향성 : 정기적으로 시스템에 대한 스냅샷을 찍어 보관 하기 때문에 피해 규모는 작을 것으로 보임

모든 부서의 데이터가 10/31 기준으로 백업이 되어 있어 11/1 ~ 11/2일 간의 데이터만 소실 위험에 있음.

-      랜섬노트 : 참고 hxxps://nunatsiaq.com/stories/article/government-of-nunavut-returns-to-paper-records-and-phone-calls-following-ransomware-attack/

      *Doppelpaymer : 2019년 6월경부터 최초 목격된, 변종 Bitpaymer 랜섬웨어. 미국 텍사스 주의 에드카우치 시와 칠레 농업부가 공격을 당한 바 있음. 

- 탐지방법 :

① 네트워크 관리자 계정 활동의 행동 변화 유무 확인 (예, 다량의 RDP 연결 사용)

② Powershell Empire 과 Dridex 뱅킹 트로잔 탐지룰을 이용한 공격 탐지. 

탐지룰 존재유무

- Yara 룰 (hxxps://www.sentinelone.com/blog/yara-hunting-for-code-reuse-doppelpaymer-ransomware-dridex-families)

RULE CRIME_WIN32_DOPPELPAYMER_RANSOMWARE_1 

{

    META:

        DESCRIPTION = "DETECTS DOPPELPAYMER PAYLOAD NOV 11 SIGNED"

        AUTHOR = "@VK_INTEL"

        REFERENCE = "HTTPS://TWITTER.COM/VK_INTEL/STATUS/1193937831766429696"

        DATE = "2019-11-11"

        HASH1 = "46254A390027A1708F6951F8AF3DA13D033DEE9A71A4EE75F257087218676DD5"

    STRINGS:

        $S1 = "SETUP RUN" WIDE

        $HASH_FUNCTION = { 5? 5? 8B FA 8B ?? 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 ?? ?? ?? ?? ?? 7? ??}

    CONDITION:

        ( UINT16(0) == 0X5A4D AND

            FILESIZE < 2500KB AND

            ( ALL OF THEM )

        )

}

- 벤더사 탐지룰 적용 중 (hxxps://www.virustotal.com/gui/file/46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5/detection)

Symantec - ML.Attribute.HighConfidence

McAfee - Artemis!81F50E95BFBB

FireEyE - Gen:Trojan.Heur.FU.JzW@ammUQ@i

영향성

- 최근, 스피어피싱이나 워터링홀 기법, 신규취약점을 악용한 유포가 활발히 발생 중 이므로 각별히 주의 필요!

※ 최근 다수 발생 중인 신규 취약점 악용 공격 : 블루킵 및 vpn 악용 취약점 공격

Pulse Secure VPN : CVE-2019-11510, CVE-2019-11539

Fortinet Fortigate VPN : CVE-2018-13379

Bluekeep : CVE-2019-0708

참고자료

출처 : hxxps://gov.nu.ca/executive-and-intergovernmental-affairs/news/gn-network-impacted-ransomware

hxxps://gov.nu.ca/executive-and-intergovernmental-affairs/news/government-nunavut-ransomware-update

hxxps://nunatsiaq.com/stories/article/government-of-nunavut-returns-to-paper-records-and-phone-calls-following-ransomware-attack/

hxxps://www.sentinelone.com/blog/yara-hunting-for-code-reuse-doppelpaymer-ransomware-dridex-families/

hxxps://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-006-EN.pdf

요약

- 최초 보도에 따르면 Ryuk 랜섬웨어에 감염 되었던것으로 알려졌으나, 감염 랜섬노트 분석 결과 DoppelPaymer 랜섬웨어 감염인 것으로 밝혀짐

- 랜섬노트에 따르면 565 Bitcoin (약 58억) 을 요구 (1 bitcoin = 10,229,000원)

- 감염 화면

참고 : hxxps://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/

- BitPaymer 랜섬웨어 노트와 유사하나, 아래와 같이 DoppelPaymer 랜섬노트의 특징인 DATA 를 확인 할 수 있음

      참고 : hxxps://twitter.com/VK_Intel/status/1194344782786527233

 - Vitali Kremez 연구원 DoppelPayer 감염 샘플 분석 

hxxps://twitter.com/VK_Intel/status/1194344782786527233

-      Vitali Kremez 연구원의 예상 감염 시나리오 :

Emotet 감염 → Dridex 멀웨어 설치→ DoppelPayer 공격자의 해당 시스템에 대한 네트워크 접근 허용 → Cobalt Strike 와 PowerShell Empire 사용해 랜섬웨어 전파

- 랜섬웨어 샘플 

46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5

탐지룰 존재유무

- Yara Rule :

hxxps://github.com/k-vitali/Malware-Misc-RE/blob/master/2019-11-11-crime_doppelpaymer_ransomware_1.vk.yar

import "pe"

rule crime_win32_doppelpaymer_ransomware_1 {

   meta:

      description = "Detects DoppelPaymer payload Nov 11 Signed"

      author = "@VK_Intel"

      reference = "https://twitter.com/VK_Intel/status/1193937831766429696"

      date = "2019-11-11"

      hash1 = "46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5"

   strings:

       $s1 = "Setup run" fullword wide

       $hash_function = { ?? ?? 8b fa 8b ?? 8b cf e8 ?? ?? ?? ?? 85 c0 75 ?? 81 ?? }

   condition:

      ( uint16(0) == 0x5a4d and

         filesize < 2500KB and

         ( all of them )

      )

}

영향성

- 공격자의 Tor 사이트에 다음과 같은 메시지가 추가 됨 

"Also, we have gathered all your private sensitive data. So if you decide not to pay, we would share it. It may harm your business reputation."

(회사 평판에 악영향을 미칠 수 있는 민감한 정보를 가지고 있으니 돈을 지불하지 않으면, 배포하겠다.)

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/

hxxps://twitter.com/VK_Intel/status/1194344782786527233

hxxps://twitter.com/malwrhunterteam/status/1194262241283063814

요약

- TA505 그룹이 사용할 것으로 추정되는 2개의 의심 도메인의 IP가 2019/11/3 동일 날짜에 등록 됨. 

microsoft-live-us.com → 185.176.221.45

sync-share.com → 45.142.215.17

서브도메인

dl1.sync-share.com

dl2.sync-share.com

dl3.sync-share.com

영향성

악성 IP 및 URL 차단 권고

참고자료

출처 : hxxps://twitter.com/kyleehmke/status/1191315815351668737

요약

-   CVE-2019-0708 취약점 Metaexploit의 모듈 코드를 공격에 활용. 시스템 침투 후 모네로 코인 마이너를 설치함.

-   IoC 

Hash : 498106fe7fa5ece30dd8d7457cabdba6

(hxxps://www.virustotal.com/gui/file/8a87a1261603af4d976faa57e49ebdd8fd8317e9dd13bd36ff2599d1031f53ce/details

Network : 109.176.117.11 port 8000 (TCP) 

   5.100.251.106 port 52057 (TCP)   

- 공격자 IP Top 3 : 

193.27.73.223 (네덜란드)

217.23.5.20 (네덜란드)

157.245.82.38 (미국)

관련 CVE정보

-  CVE-2019-0708

탐지룰 존재유무

- TippingPoint 35285: RDP: Microsoft Remote Desktop Services Remote Code Execution Vulnerability

- McAfee  RDP: Microsoft Remote Desktop MS_T120 Channel Bind Attempt

- Symantec  31527 (OS Attack: Microsoft Windows Desktop Services RCE CVE-2019-0708)

                 31529 (OS Attack: Microsoft Windows Desktop Services RCE CVE-2019-0708 2)

- Cisco  4개rule (content-replace.rules <1:50186~50189> 

* 1:50186 <-> ENABLED <-> CONTENT-REPLACE Microsoft Windows require RDP client channel list prior to encryption (content-replace.rules)

* 1:50189 <-> ENABLED <-> CONTENT-REPLACE Microsoft Windows require RDP client channel list prior to encryption (content-replace.rules)

-

참고자료

출처 : hxxps://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6

   hxxps://www.kryptoslogic.com/blog/2019/11/bluekeep-cve-2019-0708-exploitation-spotted-in-the-wild/?source=post_page-----bd6ee6e599a6----------------------

    hxxps://twitter.com/GossiTheDog/status/1191783623411806208

요약

- 최근 발표된 VPN 취약점이 APT 공격에 활용되고 있다며 미국 국가안보국에서 주의 권고문 발행

- VPN 취약점 

Pulse Secure VPN

CVE-2019-11510 : 비인가 원격 공격자가 임의의 파일 읽기 가능 

CVE-2019-11539, : 인가 공격자가 명령어 삽입 및 실행 가능

Fortinet Fortigate VPN

CVE-2018-13379 : 비인가 공격자가 시스템 파일 다운로드 가능

관련 CVE정보

- CVE-2019-11510 

  CVSS 3.0 Base Score : 8.6 

- CVE-2019-11539

  CVSS 3.0 Base Score : 8 

- CVE-2018-13379 

  CVSS 3.0 Base Score : 7.5

탐지룰 존재유무

- CVE-2019-11510 

IBM : HTTP_PulseSecure_DotDot

Trendmicro: 36089: HTTP: Pulse Secure Pulse Connect Secure Directory Traversal Vulnerability

Symantec : Web Attack: Pulse Secure SSL VPN File Disclosure CVE-2019-11510

- CVE-2019-11539

IBM : HTTP_Pulse_Secure_Options_Cmd_Injection

Trendmicro : 36095: HTTP: Pulse Secure Pulse Connect Secure options Command Injection Vulnerability

- CVE-2018-13379 

Symantec : Web Attack: Fortinet FortiOS Directory Traversal CVE-2018-13379

Trendmicro : 36087: HTTP: Fortinet FortiOS lang Directory Traversal Vulnerability

참고자료

출처 : https://media.defense.gov/2019/Oct/07/2002191601/-1/-1/0/CSA-MITIGATING-RECENT-VPN-VULNERABILITIES.PDF