북 해커, 델 펌웨어 익스플로잇 통해 멀웨어 배포 
상태바
북 해커, 델 펌웨어 익스플로잇 통해 멀웨어 배포 
  • 곽중희 기자
  • 승인 2022.10.05 10:15
  • 댓글 0
이 기사를 공유합니다

채용 제안 등 메일에 악성 파일 첨부해 공격

 

북한 해커 라자루스 APT가 델 펌웨어 드라이버의 익스플로잇을 이용해 윈도우 루트킷을 배포하고 있어 주의가 필요하다.

이번 루트킷은 ESET 연구팀에 의해 발견됐다. 해커는 스피어 피싱 이메일을 보내 그 안에 첨부된문서를 미끼로 사용하고 있다.

이 공격은 델이 2021년 5월에 해결한 델 DBUtil 드라이버의 CVE-2021-21551 취약점을 악용하는 것으로 알려져 있다.

연구팀은 다양한 윈도우의 모니터링 기능을 비활성화하는 코드명 FudㅂModule.dll의 동적 연결 라이브러리를 발견했다. 라이브러리는 기능을 비활성화하기 위해 커널 변수를 수정하고 커널 콜백을 제거한다.

또한 연구팀은 해커가 취약점을 통해 손상된 시스템의 모든 보안 솔루션에 대한 모니터링을 비활성화했다고 말했다. 이는 이전에 멀웨어에서 사용된 적이 없는 윈도우 커널 메커니즘에 대한 기술을 사용한다.

해커는 채용을 제안하는 내용의 메일을 보낸다. 문서를 열면 해커는 드롭퍼, 로더, HTTP(S) 백도어, HTTP(S) 업로더 및 다운로더를 비롯한 여러 악성 도구를 각 시스템에 배포한다. 드롭퍼는 임베디드 페이로드를 해독하는 트로이 목마 오픈 소스 프로젝트였으며 많은 경우 공격자가 악성 코드를 실행하기 위해 바이너리를 사이드 로드한다.

ESET 연구팀은 또한 해커가 wolfSSL 프로젝트의 구성 요소인 FingerText, sslSniffer의 무기화된 버전을 삭제하고 있다고 보고했다. 또한 손상된 인프라에 백도어를 설정하는 데 사용된 BLINDINGCAN과 같은 멀웨어를 사용했다.

연구팀은 "많은 공격에서 우리는 엔드포인트에도 많은 멀웨어가 배포된 것을 발견했다. 해커는 처음으로 CVE-2021-21551을 활용해 모든 보안 솔루션의 모니터링을 끌 수 있었다”라고 말했다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.