정보보안 뉴스 #4 마이크로소프트 오피스 RCE 0-day "Follina" CVE-2022-30190 후기: Threat Actor들은 어떻게 악용했을까

한 달 전에 새로운 Follina (CVE-2022-30190) 취약점이 발견됐을 때 그 취약점에 대한 글을 올렸는데 시간이 좀 지났으니 Threat Actor들은 이 취약점을 어떻게 악용해왔는지를 알아보도록 하겠습니다.

APT 28 Fancy Bear

Fancy Bear라는 이름으로 알려진 APT 28는 러시아의 정보총국 (GRU)하고 협조하는 것으로 알려져 있습니다. 2004년에 처음으로 나타났으며 현 우크라이나-러시아 갈등에 개입하는 것을 보면 이 APT는 아직까지도 활동적인 것을 알 수 있습니다. 

"Nuclear Terrorism A Very Real Threat.rtf" (핵 테러는 매우 실제적인 위협)이라는 파일을 유포시켰으며 우크라이나 국민들의 우-러 전쟁의 격화에 대한 두려움을 이용했습니다.  

이 악성파일은 hxxp://kitten-268[.]frge[.]io/article[.]html이라는 홈페이지에 연결하여 remote template가 담겨 있는 html파일을 다운로드합니다.

html 파일은 javascript로 window.location.href를 활용하여 encode되어 있는 powershell 스크립트를 실행시킵니다. 이 스크립트는 cmd로 powershell 코드를 실행시키고 다음 단계의 payload를 다운로드합니다.

마지막 단계의 payload는 .NET stealer 악성코드이며 브라우저에 저장되어 있는 비밀번호하고 유저 이름들을 탈취합니다.

우크라이나의 CERT에 따르면 러시아 해커들이 유포시켰던 악성코드는 CredoMap이라고 합니다.

다른 경우에는 해커들이 똑같은 마이크로소프트 취약점을 악용하여 Cobalt Strike Beacon하고 CrescentImp이라는 악성코드를 유포시켰습니다.

 

TA413:

세계보건기구 (WHO)으로 가장하고 코로나 위기를 활용하여 피싱 캠페인을 진행하는 것으로 알려진 중국 TA413 APT도 Follina 취약점을 악용하는 것이 목격됐습니다. "Threat Insight"라는 트위터 계정에 따르면 악성 워드 파일이 담겨 있는 zip 파일들을 유포됐다고 합니다.

 

Crimeware

APT 그룹 뿐만 아니라 crimeware도 Follina를 악용합니다. 그중에 옛날에 banking trojan인 것으로 유명했던 qakbot도 하나입니다. qakbot은 요즘 다른 악성코드를 위한 "distributor" (유포시키기) 역할을 하는데 qakbot 개발자들의 "고객"들 중에 랜섬웨어를 개발하는 사람들이 많습니다. 

qakbot을 유포 시키는 그룹들 중에 TA570 하나인데 감염의 첫 단계는 이메일 thread-hijacking입니다.

피해자들은 이메일에 담겨 있는 .html 파일을 열면 .zip 파일 하나 저장되는데 안에 qakbot의 .dll하고, .lnk. 파일과 워드 파일이 있습니다. 워드 파일은, 위와 똑같이, powershell 코드가 담겨 있는 .html파일을 실행시킨 후에 qakbot가 다운로드되고 실행됩니다.

 

 

 

 

 

Resources:

https://attack.mitre.org/groups/G0007/

https://blog.malwarebytes.com/threat-intelligence/2022/06/russias-apt28-uses-fear-of-nuclear-war-to-spread-follina-docs-in-ukraine/

https://www.darkreading.com/attacks-breaches/russia-apt28-launches-nuke-themed-follina-exploit-campaign

https://cert.gov.ua/article/341128

https://cert.gov.ua/article/339662

https://cert.gov.ua/article/160530

https://malpedia.caad.fkie.fraunhofer.de/actor/ta413

https://securityaffairs.co/wordpress/131843/apt/china-apt-exploits-follina-flaw.html

https://zerosecurity.org/2022/06/follina-exploit-being-deployed-by-chinese-apt-group-ta413/

https://twitter.com/threatinsight

https://www.theregister.com/2022/06/09/qbot-malware-microsoft-follina/

https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/