고정 헤더 영역
상세 컨텐츠
본문
728x90
북한 해커 조직 구글 크롬 엑스플로잇 CVE-2022-0609
구글 업데이트가 나왔으니 꼭 업데이트하세요!
구글의 Threat Analysis 팀에 따르면 북한 해커들은 거의 6주 동안 Google Chrome 엑스플로잇 CVE-2022-0609를 사용하여 해킹 공격을 진행했다고 합니다. 이 엑스플로잇 사용했던 그룹이 2개 있으며 "Operation Dream Job" 하고 AppleJeus이라는 이름으로 추적되고 있습니다.
두 그룹들은 똑같은 엑스플로잇을 사용했으나 공격의 목적이 다른다고 하니 다른 북한 해커 조직들도 이 엑스플로잇을 사용했을 지도 모릅니다.
Operamtion Dream Job 해킹 캠페인도 마찬가지로 해커들은 가짜 취업 기회가 있다고 주장하는 이메일을 피해자들에게 보냈습니다. 링크를 누르고 홈페이지에 연결하면 숨겨진 iframe이 엑스플로잇을 실행시킵니다.
해커들이 제어하는 가짜 domain들은 다음과 같습니다:
disneycareers[.]net, find-dreamjob[.]com, indeedus[.]org, varietyjob[.]com. ziprecruiters[.]org
익스플로잇 URL:
https[:]//colasprint[.]com/about/about.asp
https[:]//varietyjob[.]com/sitemap/sitemap.asp
그 반면에 Operation AppleJeus는 똑같은 엑스플로잇을 사용했으나ㄴ 암호화폐 회사들을 공격했습니다. 잘 알려진 암호화폐 홈페이지들을 해킹해서 숨겨진 iframe으로 피해자들을 해킹하는 경우와 가짜 홈페이지를 만들어 "트로이 목마화된 암호화 애플리케이션"을 사용하는 경우도 있었습니다.
해커들이 제어하는 가짜 domain들은 다음과 같습니다:
blockchainnews[.]vip, chainnews-star[.]com, financialtimes365[.]com, fireblocks[.]vip, gatexpiring[.]com, gbclabs[.]com, giantblock[.]org, humingbot[.]io, onlynova[.]org, teenbeanjs[.]com
해킹 당한 잘 알려진 홈페이지:
www.options-it[.]com,
www.tradingtechnologies[.]com
익스플로잇 URL:
https[:]//financialtimes365[.]com/user/finance.asp,
https[:]//gatexpiring[.]com/gate/index.asp
https[:]//humingbot[.]io/cdn/js.asp
https[:]//teenbeanjs[.]com/cloud/javascript.asp
가난하고 고립된 북한이 세상 최고의 개발자와 엔지니어들을 데려가는 구글 제품까지 해킹 가능하다니 걱정스럽네요. 한반도의 핵미사일 문제보다 정보 보안 문제가 점점 중요해지는 것 같습니다.
Vxunderground에서 해커들이 사용했던 코드를 다운로으할 수 있습니다.
Hash: 03a41d29e3c9763093aca13f1cc8bcc41b201a6839c381aaaccf891204335685
아래 tool로 deobfuscation이 가능합니다. (네이버 블로그는 내용 제한이 있으므로 복사 넣기 불가능)
LAPSUS$ 업데이트
지난 뉴스는 Nvidia 하고 삼성 해킹 사건에 대해서 보고 했는데 LAPSUS$에 대한 업데이트가 나왔습니다.
런던 경찰은 16살 남자와 17살 남자를 체포했습니다. 런던 경찰에 따르면: "두 10대 모두 데이터의 신뢰성을 해칠 목적으로 컴퓨터에 무단 접속한 3건, 거짓 진술에 의한 사기 1건 혐의로 기소되었습니다. 아울러, 데이터에의 액세스를 방해할 목적으로, 컴퓨터에의 부정 액세스의 1건 혐의로 기소되었습니다."
그러나 LAPSUS$ 활동이 계속되고 있습니다.
MITRE ATT&CK 프레임워크
Lapsus는 자기 telegram 채널에서 사진들을 업로드하면서 업데이트하는데 최근에 올린 사진이 사실이라면 Facebook, Globant, DHL, apple도 해킹 당했습니다.
아울러 Lapsus의 공격 패턴이 공개됐는데 걱정스러운 부분은 빨간 부분입니다. Lapsus는 "맞춤" 악성코드 말고 누구나 인터넷에서 다운로드할 수 있는 소프트웨어를 사용했습니다. 피해자의 시스템을 침입한 다음에 "Process Hacker"를 검색하고 다운로드해서 시스템의 Fireye의 보호 소프트웨어를... 껐네요?! 권한상승하기 위해서는 bing을 사용해서 단지 "Privilege Escalation Tools"라고 검색했고요. Mimikatz도 마찬가지... 어떻게 보면 scriptkiddie라는 단어가 적당한 것 같은데, 전혀 숙련되지 않은 10대들에게 해킹당할 수 있나 봐요, 대기업이든 아니든
https://twitter.com/BillDemirkapi/status/1508527497008361472
Spring4Shell
작년 12월에 Log4Shell에 대한 블로그를 썼는데 비슷한 취약점이 또 생겼습니다. 자세하게 말하자면 취약점 2개입니다. Spring4Shell은 "Spring Core"의 RCE 취약점과 "Spring Cloud Function"의 RCE 취약점입니다.
CVE는 CVE-2022-22965 하고 CVE-2022-22963입니다.
Spring의 개발자들은 업데이트를 공개했으니 업데이트를 하는 것이 좋을 것 같습니다 (버전 5.3.18과 5.2.20).
직접 엑스플로잇 하려고 하시는 분들은 링크를 공유하겠습니다.
Spring Cloud Function 취약점도 업데이트가 나왔습니다. 새로운 버전은 3.1.7+ 혹은 3.2.3+
