BYOVD 기법으로 백신 프로그램을 무력화하는 라자루스 공격 그룹의 악성코드 감염 사례
Contents
2022년 4월 안랩은 ASEC 블로그 (INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드, https://asec.ahnlab.com/ko/33706)에서 라자루스 공격 그룹이 악성코드 감염을 위해 INITECH 프로세스를 악용한다는 내용을 소개했다.
본 글에서는 라자루스 공격 그룹이 워터링 홀 기법을 통해 시스템 해킹에 성공 후 내부 네트워크 내의 시스템들을 추가로 해킹하기 위해 드림시큐리티사의 MagicLine4NX 제품의 취약점을 이용하고 있으며, 취약한 드라이버를 이용해 백신 프로그램을 무력화하고 있다는 내용을 공유하고자 한다.
최초 침투
공격자는 피해 시스템에 침투하기 위해 워터링 홀 공격 방식을 사용하고 있다. 국내 웹 사이트를 해킹한 후, 해당 사이트에서 제공되는 컨텐츠를 조작한다. 특정 IP에서 접근하는 경우에만 동작되는 것으로 보아, 특정 기업이나 조직을 노리고 있는 것으로 추정된다.
취약한 INISAFECrossWebEX를 사용 중인 사용자의 PC가 해당 사이트에 웹 브라우저로 접근하게 되면, INISAFECrossWebEXSvc.exe의 취약점에 의해 악성코드 배포 사이트에서 라자루스 악성코드(SCSKAppLink.dll)가 다운로드된 후 실행된다.
악성코드 감염에 취약한 버전의 INISAFECrossWebEXSvc.exe 프로세스가 악용되고 있으므로, 해당 소프트웨어를 사용 중인 PC는 반드시 최신 패치를 적용해야 하며, 사용하지 않는 경우에는 삭제하도록 한다.
내부 시스템 접근
MagicLine4NX 취약점 이용
공격자는 내부 시스템에 접근하기 위해 MagicLine4NX(인증서 인증, 전자서명 …
본 글에서는 라자루스 공격 그룹이 워터링 홀 기법을 통해 시스템 해킹에 성공 후 내부 네트워크 내의 시스템들을 추가로 해킹하기 위해 드림시큐리티사의 MagicLine4NX 제품의 취약점을 이용하고 있으며, 취약한 드라이버를 이용해 백신 프로그램을 무력화하고 있다는 내용을 공유하고자 한다.
최초 침투
공격자는 피해 시스템에 침투하기 위해 워터링 홀 공격 방식을 사용하고 있다. 국내 웹 사이트를 해킹한 후, 해당 사이트에서 제공되는 컨텐츠를 조작한다. 특정 IP에서 접근하는 경우에만 동작되는 것으로 보아, 특정 기업이나 조직을 노리고 있는 것으로 추정된다.
취약한 INISAFECrossWebEX를 사용 중인 사용자의 PC가 해당 사이트에 웹 브라우저로 접근하게 되면, INISAFECrossWebEXSvc.exe의 취약점에 의해 악성코드 배포 사이트에서 라자루스 악성코드(SCSKAppLink.dll)가 다운로드된 후 실행된다.
악성코드 감염에 취약한 버전의 INISAFECrossWebEXSvc.exe 프로세스가 악용되고 있으므로, 해당 소프트웨어를 사용 중인 PC는 반드시 최신 패치를 적용해야 하며, 사용하지 않는 경우에는 삭제하도록 한다.
내부 시스템 접근
MagicLine4NX 취약점 이용
공격자는 내부 시스템에 접근하기 위해 MagicLine4NX(인증서 인증, 전자서명 …
IoC
013B4C4E9387D8FE1EAB738C42C451DA
1.0.0.17
1.249.169.5
110.10.189.167
114.207.112.19
119.207.79.175
14.63.165.32
182.252.138.31
1EDBD7AA68B1818A1EA98C0362CE84C7
1F1A3FE0A31BD0B17BC63967DE0CCC29
20.194.29.89
202A7EEC39951E1C0B1C9D0A2E24A4C4
211.110.1.17
211.110.1.93
222.118.225.33
3.39.208.187
43F218D3A4B2199468B00A0B43F51C79
4D91CD34A9AAE8F2D88E0F77E812CEF7
61.100.5.186
8543667917A318001D0E331AEAE3FB9B
8DA35C64FFBFE33A3435A3E8DC1A5A42
8F39A7AFA14541B709FE950D06186944
97BC894205D696023395CBD844FA4E37
98E58A39EDE26AF7980ED4DE2873CAAB
B457E8E9D92A1B31A4E2197037711783
C16A6178A4910C6F3263A01929F306B9
CA6C08B58A35D7FA581DFB419CE5B881
CA9B6B3BCE52D7F14BABDBA82345F5B1
FA868A38CEEB46EE9CF8BD441A67AE27
http://strivemktsupporters.com
3.39.208.187
https://strivemktsupporters.com
1.0.0.17
1.249.169.5
110.10.189.167
114.207.112.19
119.207.79.175
14.63.165.32
182.252.138.31
1EDBD7AA68B1818A1EA98C0362CE84C7
1F1A3FE0A31BD0B17BC63967DE0CCC29
20.194.29.89
202A7EEC39951E1C0B1C9D0A2E24A4C4
211.110.1.17
211.110.1.93
222.118.225.33
3.39.208.187
43F218D3A4B2199468B00A0B43F51C79
4D91CD34A9AAE8F2D88E0F77E812CEF7
61.100.5.186
8543667917A318001D0E331AEAE3FB9B
8DA35C64FFBFE33A3435A3E8DC1A5A42
8F39A7AFA14541B709FE950D06186944
97BC894205D696023395CBD844FA4E37
98E58A39EDE26AF7980ED4DE2873CAAB
B457E8E9D92A1B31A4E2197037711783
C16A6178A4910C6F3263A01929F306B9
CA6C08B58A35D7FA581DFB419CE5B881
CA9B6B3BCE52D7F14BABDBA82345F5B1
FA868A38CEEB46EE9CF8BD441A67AE27
http://strivemktsupporters.com
3.39.208.187
https://strivemktsupporters.com