상세 컨텐츠
본문
GhostEmperor hackers use new Windows 10 rootkit in attacks
중국어를 구사하는 사이버 스파이들이 지난 1년 이상 동안 동남아시아의 정부 기관과 통신 회사를 노린 공격에 새롭게 발견된 루트킷을 사용하여 최신 윈도우 10을 실행하는 시스템에 백도어를 설치한 것으로 나타났습니다.
Kaspersky 연구원들은 이 그룹을 발견 후 ‘GhostEmperor’라 명명했습니다. 이 해킹 그룹은 해킹된 서버에서 지속성을 유지하는 백도어 역할을 하는 Demodex 루트킷을 사용합니다.
이 루트킷의 주요 목적은 포렌식 조사관과 보안 제품의 탐지를 피하기 위해 악성코드의 아티팩트(파일, 레지스트리 키, 네트워크 트래픽 등)를 숨기는 것입니다.
"GhostEmperor는 윈도우 드라이버 서명 강제 메커니즘을 우회하기 위해 'Cheat Engine'이라는 오픈소스 프로젝트의 컴포넌트를 통한 로딩 방식을 사용합니다. 이 고급 툴 셋은 고유하며, Kaspersky의 연구원은 이미 알려진 공격자들과의 유사성을 찾을 수 없었다고 밝혔습니다. Kaspersky 전문가는 이 툴 세트가 최소 2020년 7월부터 사용되어 온 것으로 추정했습니다.”
<GhostEmperor 감염 체인>
공격자는 피해자의 서버를 해킹하기 위해 Apache, Window IIS, Oracle, Microsoft Exchange를 포함한 인터넷에 연결된 서버 소프트웨어의 알려진 취약점을 악용했습니다.
또한 GhostEmperor는 해킹된 기기를 원격으로 제어할 수 있는 공격자가 서버를 원격으로 제어할 수 있도록 하는 "정교한 다단계 악성코드 프레임워크"를 사용합니다.
숙련된 해킹 그룹, 유명 타깃 노려
GhostEmperor의 운영자는 정교하고 흔하지 않은 안티-분석 및 안티-포렌식 등 강력한 기술을 통해 자신의 임무를 완수하고 있음을 보여주었습니다.
대다수의 공격이 동남아시아(말레이시아, 태국, 베트남, 인도네시아 등)의 통신 회사 및 정부 기관에 집중되었지만 연구원들은 이집트, 에티오피아, 아프가니스탄 등 국가를 포함한 다른 지리적 지역도 노린 것을 발견했습니다.
"공격자는 몇 달 동안 탐지되지 않고 시스템에 숨어있었습니다. 이들은 악성 툴킷을 개발할 때 수사관의 사고방식에 대한 깊은 이해를 바탕으로 다양한 방식을 통해 포렌식 분석에 대응했습니다. 공격자는 윈도우 10에서 Demodex 루트킷을 완전히 동작시키기 위해 타사 서명 및 무해한 드라이버의 문서화된 기능을 통해 로드할 수 있도록 연구를 진행했습니다."
"이로써 루트킷을 TTP로 고려해야하며, GhostEmperor 운영자와 같은 지능형 공격자는 향후 캠페인에서 해당 루트킷을 계속 사용할 의향이 있음을 알 수 있습니다.”
GhostEmperor의 전략 및 Demodex 루트킷에 대한 자세한 기술 정보는 Kaspersky의 보고서에서 확인하실 수 있습니다.
출처:
https://securelist.com/ghostemperor-from-proxylogon-to-kernel-mode/104407/
'국내외 보안동향' 카테고리의 다른 글
| RansomEXX 랜섬웨어 리눅스 버전 암호화기, 피해자의 파일을 손상시킬 수 있어 (0) | 2021.10.01 |
|---|---|
| Google Chrome 긴급 업데이트, 2개의 제로데이 취약점 패치해 (0) | 2021.10.01 |
| 천만 명 이상의 사용자로부터 수백만 달러를 훔친 안드로이드 악성코드 GriftHorse발견 (0) | 2021.09.30 |
| SolarWinds 해커가 개발한 것으로 추측되는 Tomiris 백도어 발견 (0) | 2021.09.30 |
| FinFisher 악성코드, UEFI 부트킷으로 윈도우 부트 매니저 하이재킹해 (0) | 2021.09.29 |
댓글 영역