Blue Mockingbird조직, 3년된 Telerik 취약점을 악용하여 Cobalt Strike 배포

 

 

Hackers exploit three-year-old Telerik flaws to deploy Cobalt Strike

Blue Mockingbird로 알려진 조직이 Telerik UI 취약점을 악용하여 Cobalt Strike를 설치하고 시스템 리소스를 하이재킹을 하여 암호화폐 Monero를 채굴하는 것으로 확인되었습니다.

공격자가 악용한 취약점은 CVE-2019-18935로, ASP.NET AJAX용 Telerik UI 라이브러리에서 원격 코드 실행 취약점으로, 2020년 5월, Telerik UI를 사용하는 취약한 Microsoft IIS 서버를 대상으로 공격을 진행한 적이 있습니다. 이 후 곧이어, 벤더에서 보안 업데이트를 공개하였습니다. 

하지만 보안 업데이트가 제공된지 1년이 지났지만, Blue Mockingbird 조직은 여전히 동일한 취약점을 사용하여 공격을 진행중에 있다고 Sophos는 밝혔습니다.

오래된 취약점 악용

 

CVE-2019-18935 취약점을 악용하려면, 먼저 공격자가 공격대상에서 Telerik UI의 직렬화를 보호하는 암호화 키를 획득해야 합니다. 하지만 이는 해당 웹 앱의 다른 취약점이나, CVE-2017-11317 및 CVE-2017-11357 취약점을 악용하면 가능합니다. 

많은 웹 앱이 개발 당시 사용 가능했던 Telerik UI 버전을 내장한 프로젝트였기 때문에, 해당 공격이 여전히 유효한 대상들이 존재합니다. 

만일 공격자가 키를 획득하면, 역직렬화 중 실행될 코드가 포함된 악의적인 DLL을 컴파일 하고, 'w3wp.exe' 프로세스 컨텍스트 내에서 실행할 수 있습니다. 

 

 

<출처 : https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/>

<Blue Mockingbird 공격체인>

 

 

 

금전적 이득의 동기를 공격

 

Sophos는 최근 공격에서 Blue Mockingbird는 암호화 로직을 처리하고 DLL 컴파일을 자동화하는 즉시 사용 가능한 개념 증명(PoC) 익스플로잇을 사용하는 것을 발견하였습니다. 

 

<출처 : https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/>

<코발트 스트라이크 비콘 구성>

 

Blue Mockingbird는 최근 공격에서 암호화된 PowerShell 명령어를 실행하기 위하여 침투 테스트 툴인 코발트스트라이크 비콘(Cobalt Strike beacon) 페이로드를 사용하였습니다. 

 

 

<출처 : https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/>

<파웨셸 명령어 코드>

 

 

<출처 : https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/>

<수정된 레지스트리 키>

 

base64로 인코딩된 PowerShell을 포함하는  새 레지스트리 키로 작성된 스케줄링된 작업을 생성하는 GPO( Active Directory Group Policy Objects)를 통해 지속성을 유지합니다.

해당 스크립트는 일반적인 AMSI-bypassing 기술을 사용하여 윈도우 디펜더를 우회하고 코발트스트라이크 DLL을 다운로드 및 메모리에 로드합니다.

다음 실행파일은 모네로 마이닝을 위해 사용되는 마이닝툴인 XMRig Miner입니다.

 

 

<출처 : https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/>

<XMRig 구성>

 

 

<출처 : https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/>

<Blue Mockingbird 조직의 XMRig 마이닝 >

2020년 동안, 공격자의 주요 목표는 암호화폐 채굴로 큰 변화는 보이지 않았습니다. 하지만 코발트 스트라이크는 침투한 네트워크 내에서 손쉽게 이동하고, 데이터 유출, 계정탈취 및 랜섬웨어와 같은 추가적인 페이로드를 배포할 수 있도록 해주는 만큼, 공격 목표의 변화에 대해서는 더 지켜볼 필요가 있습니다. 

 

현재 알약에서는 관련 악성코드들에 대해 Misc.Riskware.BitCoinMiner, Trojan.Agent.CobaltStrike 등으로 탐지중에 있습니다. 

 

 

 

 

출처  :
https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/
https://news.sophos.com/en-us/2022/06/15/telerik-ui-exploitation-leads-to-cryptominer-cobalt-strike-infections/