|
Chrome 제로데이를 이용한 Windows 10 타겟 공격 침해사고분석팀 2021.06.09 |
|
|
카스퍼스키 보안 연구원은 PuzzleMaker라고 불리는 새로운 위협 행위자를 발견했다. 그는 구글 Chrome과 Windows 10 제로데이 익스플로잇의 체인을 활용했다.
카스퍼스키에 따르면 PuzzleMaker에 의한 공격은 피해자 네트워크가 처음 손상된 4월 중순에 발견됐다. 공격 캠페인에서 배포된 제로데이 익스플로잇 체인은 타겟 시스템에 접근하기 위해 Google Chrome V8 JavaScript 엔진의 원격 코드 실행 취약점을 이용했다. 다음으로, PuzzleMaker 위협행위자는 윈도우 커널의 정보 유출 취약점(CVE-2021-31955), Windows NTFS 권한 상승 버그(CVE-2021-31956)을 악용해 최신 Windows 10 버전을 손상시키기 위해 수정한 권한 상승 익스플로잇을 사용했다.
[ 그림1. CVE-2021-31955을 확인할 수 있는 MemInfo 유틸리티의 소스 코드 ]
공격자는 손상된 Windows 10 시스템에서 SYSTEM 권한으로 맬웨어 모듈을 실행하기 위해 Windows Notification Facility(WNF)을 CVE-2021-31956 취약점과 함께 악용했다.
연구원은 “일단 공격자가 Chrome과 Windows 익스플로잇을 사용해서 타겟 시스템에서의 발판을 마련하면, stager 모듈이 원격 서버에서 맬웨어 드로퍼를 다운로드하고 실행한다.” 라고 말했다. 연구원에 의하면, 실행된 드로퍼는 두 개의 실행파일을 설치하는데, 이 실행파일들은 Microsoft Windows OS에 속한 정상 파일으로 가장한다. 두 개의 실행파일 중 두 번째는 원격 쉘 모듈로, 파일 다운로드 및 업로드, 프로세스 실행, 특정 시간동안 프로세스를 중단, 그리고 감염된 시스템에서 자기 자신을 삭제하는 동작을 할 수 있다.
해당 악성 코드 샘플 해시를 포함한 침해 지표(IOC)는 Kaspersky의 보고서에서 확인할 수 있다.
해당 이슈는 최근 악용된, 첫 Chrome 제로데이 익스플로잇이 아니다. Project Zero(Google의 제로데이 버그헌팅 팀)는 해커 그룹이 11개의 제로 데이를 사용하여 1년 동안 Windows, iOS 및 Android 사용자를 공격하는 대규모 작전을 공개했다. 이 공격은 2020년 2월과 10월에 두 개의 개별 캠페인에서 발생했으며, 최소 12개의 웹 사이트가 두 개의 익스플로잇 서버를 호스팅하고 각 웹 사이트는 iOS, Windows 또는 Android 사용자를 대상으로 했다.
GReAT(Global Research and Analysis Team)의 선임 보안 연구원, Boris Larin은 "최근 제로 데이 익스플로잇에 의해 주도되는 여러 주요 위협 활동의 물결을 전반적으로 보고 있다. 이는 제로 데이가 표적 감염을 위한 가장 효과적인 방법이라는 것을 상기시켜준다."라고 말했다.
출처 https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/ |
