국내 금융 보안 솔루션의 취약점을 이용하는 Lazarus 공격 그룹
Contents
Lazarus 공격 그룹은 이전 ASEC 블로그에서도 소개했던 바와 같이 INISAFE CrossWeb EX와 MagicLine4NX의 취약점을 공격에 활용하고 있다.
- INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드 (2022.04.18)
- BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례 (2022.10.24)
ASEC(AhnLab Security Emergency response Center)에서는 Lazarus 공격 그룹의 활동을 모니터링 하던 중, 기존에 공격에 악용되던 INISAFE CrossWeb EX와 MagicLine4NX외에 VestCert와 TCO!Stream의 0-day 취약점을 이용되는 정황을 새롭게 확인했다.
VestCert는 예티소프트사에서 제작한 Non-ActiveX 방식의 웹 보안 소프트웨어이며 TCO!Stream은 (주)엠엘소프트의 기업 자산관리 프로그램으로 두 솔루션 모두 국내 다수 업체에서 사용 중이다.
Lazarus는 계속해서 국내에서 사용되는 소프트웨어의 새로운 취약점을 찾고, 공격에 악용하고 있으므로 해당 소프트웨어를 사용하는 기업들은 반드시 최신 버전으로 패치할 것을 권고한다.
VestCert의 취약점 이용한 악성코드 다운로드
공격자는 기업 내부로 최초 침투하기 위해 워터링홀 방식을 사용한다. 사용자가 취약한 버전의 VestCert 설치된 Windows 시스템에서 웹 브라우저를 이용해 악성 스크립트가 삽입된 특정 웹 사이트에 방문하면 웹 브라우저 종류에 상관 없이 VestCert 소프트웨어의 써드-파티 라이브러리 실행 취약점으로 인해 PowerShell이 실행되며, PowerShell은 아래와 같이 …
- INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드 (2022.04.18)
- BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례 (2022.10.24)
ASEC(AhnLab Security Emergency response Center)에서는 Lazarus 공격 그룹의 활동을 모니터링 하던 중, 기존에 공격에 악용되던 INISAFE CrossWeb EX와 MagicLine4NX외에 VestCert와 TCO!Stream의 0-day 취약점을 이용되는 정황을 새롭게 확인했다.
VestCert는 예티소프트사에서 제작한 Non-ActiveX 방식의 웹 보안 소프트웨어이며 TCO!Stream은 (주)엠엘소프트의 기업 자산관리 프로그램으로 두 솔루션 모두 국내 다수 업체에서 사용 중이다.
Lazarus는 계속해서 국내에서 사용되는 소프트웨어의 새로운 취약점을 찾고, 공격에 악용하고 있으므로 해당 소프트웨어를 사용하는 기업들은 반드시 최신 버전으로 패치할 것을 권고한다.
VestCert의 취약점 이용한 악성코드 다운로드
공격자는 기업 내부로 최초 침투하기 위해 워터링홀 방식을 사용한다. 사용자가 취약한 버전의 VestCert 설치된 Windows 시스템에서 웹 브라우저를 이용해 악성 스크립트가 삽입된 특정 웹 사이트에 방문하면 웹 브라우저 종류에 상관 없이 VestCert 소프트웨어의 써드-파티 라이브러리 실행 취약점으로 인해 PowerShell이 실행되며, PowerShell은 아래와 같이 …
IoC
064D696A93A3790BD3A1B8B76BAAEEF3
3CA6ABF845F3528EDF58418E5E42A9C1788EFE7A
55F0225D58585D60D486A3CC7EB93DE5
67D306C163B38A06E98DA5711E14C5A7
747177AAD5AEF020B82C6AEABE5B174F
8.0.23.215
8ADEEB291B48C97DB1816777432D97FD
BA741FA4C7B4BB97165644C799E29C99
C09B062841E2C4D46C2E5270182D4272
E73EAB80B75887D4E8DD6DF33718E3A5
E7C9BF8BF075487A2D91E0561B86D6F5
EC5D5941522D947ABD6C9E82E615B46628A2155F
http://ksmarathon.com/admin/excel2.asp
http://www.sinae.or.kr/sub01/index.asp
https://swt-keystonevalve.com/data/content/cache/cache.php?mode=read
https://www.bcdm.or.kr/board/type3_D/edit.asp
https://www.coupontreezero.com/include/bottom.asp
https://www.daehang.com/member/logout.asp
https://www.gongsilbox.com/board/bbs.asp
https://www.hmedical.co.kr/include/edit.php
https://www.materic.or.kr/files/board/equip/equip_ok.asp
3CA6ABF845F3528EDF58418E5E42A9C1788EFE7A
55F0225D58585D60D486A3CC7EB93DE5
67D306C163B38A06E98DA5711E14C5A7
747177AAD5AEF020B82C6AEABE5B174F
8.0.23.215
8ADEEB291B48C97DB1816777432D97FD
BA741FA4C7B4BB97165644C799E29C99
C09B062841E2C4D46C2E5270182D4272
E73EAB80B75887D4E8DD6DF33718E3A5
E7C9BF8BF075487A2D91E0561B86D6F5
EC5D5941522D947ABD6C9E82E615B46628A2155F
http://ksmarathon.com/admin/excel2.asp
http://www.sinae.or.kr/sub01/index.asp
https://swt-keystonevalve.com/data/content/cache/cache.php?mode=read
https://www.bcdm.or.kr/board/type3_D/edit.asp
https://www.coupontreezero.com/include/bottom.asp
https://www.daehang.com/member/logout.asp
https://www.gongsilbox.com/board/bbs.asp
https://www.hmedical.co.kr/include/edit.php
https://www.materic.or.kr/files/board/equip/equip_ok.asp