|
백도어 Windows 시스템에 사용되는 새로운 Moriya 루트킷 침해사고분석팀 2021.05.07 |
|
|
알려지지 않은 위협 행위자가 새로운 은밀한 루트킷을 사용하여 적어도 2018년으로 거슬러 올라가는 TunnelSnake처럼 보이는 Windows 시스템을 백도어 대상으로 삼았다.
루트킷은 운영 체제 깊숙한 곳에 파묻혀 탐지를 회피하도록 설계된 악성 도구이며 공격자가 탐지를 피하면서 감염된 시스템을 완전히 장악하기 위해 사용한다.
Kaspersky 연구원이 Moriya라고 명명한 이전에 알려지지 않은 악성 코드는 공격자가 피해자의 네트워크 트래픽을 은밀하게 감시하고 손상된 호스트에 명령을 보낼 수있는 패시브 백도어이다.
Moriya는 TunnelSnake 운영자가 Windows 커널의 주소 공간(운영 체제의 커널이 상주하고 일반적으로 권한이 있고 신뢰할 수 있는 코드만 실행되는 메모리 영역)에서들어오는 네트워크 트래픽을 캡처하고 분석할 수 있도록 허용했다.
백도어가 명령 및 제어 서버에 연결할 필요없이 피해자의 네트워크 트래픽 내에 숨겨진 맞춤형 패킷 형태로 명령을 수신하는 방식은 공격자가 탐지 회피에 집중하고 있음을 보여준다.
"가능한 한 오랫동안 레이더 아래에 머물기 위해 추가 조치를 취하고 보다 맞춤화되고 복잡하며 탐지하기 어렵게 만드는 TunnelSnake와 같은 은밀한 캠페인이 점점 더 많아지고 있습니다."라고 Mark Lechtik, Kaspersky의 글로벌 연구 및 분석 팀의 선임 보안 연구원이 말했다.
[그림1. Moriya 루트킷 아키텍처]
Kaspersky의 원격 분석에 따르면 악성 코드는 고도로 표적화된 공격에서 10개 미만의 엔티티 네트워크에 배포되었다.
위협 행위자는 아시아 및 아프리카 외교 기관 및 기타 유명 조직에 속한 백도어 시스템을 사용하여 네트워크를 제어하고 탐지되지 않은 채 몇 달 동안 지속성을 유지했다. 이를 통해 피해자의 네트워크에서 새로운 취약한 호스트를 검색하고 찾은 후 네트워크에서 이동할 수 있었다.
Kaspersky 연구원은 캠페인을 특정 위협 행위자의 탓으로 돌릴 수 없었지만 공격에 사용된 전술, 기술 및 절차(TTP)와 표적 개체는 공격자가 중국어를 할 가능성이 있음을 말했다. Kaspersky의 글로벌 연구 및 분석 팀의 선임 보안 연구원인 Giampaolo Dedola는 "또한 2018년 독립 실행형 공격에 사용된 이전 버전의 Moriya를 발견했습니다. 이는 최소한 2018년부터 활동 중인 위협행위자를 가리킵니다."라고 말했다.
"표적의 프로필과 활용된 도구 세트는 이 캠페인에서 행위자의 목적이 스파이 활동임을 시사합니다. 그러나 실제 탈취된 데이터에 대한 가시성이 부족하여 부분적으로만 증명할 수 있습니다."라고 덧붙였다.
Moriya 루트킷 및 TunnelSnake 캠페인과 관련된 손상 지표에 대한 자세한 기술 정보는 Kaspersky의 보고서에서 찾을 수 있다.
10월에 Kaspersky는 2019년 두 개의 비정부 조직(NGO)에 대한 공격을 조사하면서 두번째 UEFI 루트킷(MosaicRegressor)도 발견했다.
이전 UEFI 부트킷은 Lojax로 알려져 있으며, 2018년 ESET에서 발견되었고 LoJack 도난 방지 소프트웨어 내에 러시아의 지원으로 운영하는 APT28 해킹 그룹에 의해 주입되었다.
출처 https://www.bleepingcomputer.com/news/security/new-moriya-rootkit-used-in-the-wild-to-backdoor-windows-systems/ |
