3주차 기술 [ESRC 보안동향보고서]

https://www.estsecurity.com/enterprise/security-info/report

이스트시큐리티 기업 | 보안동향보고서

10월달 ESRC 보고서를 살펴보자~

먼저, 크제 화제가 되었던 국정자원(국가정보자원관리원)화재가 있었다. 화재 발생시 진압이 어려운 리튬 배터리이전 작업중 작업자가 안전 수칙을 준수하지 않아 발생되었다고 한다. 이로 인해 정부24, 국민신문고, 우체국 등에서 서비스 장애가 일어났다. 국정자원은 광주에 백업 서버를 두고 있지만 정기복제 방식이라 즉각적인 대응이 어려웠던 것 같다.

롯데카드에서도 해킹 사건이 일어났다고 한다… 8월 14일 부터 16일까지 롯데카드의 온라인 결제 서버가 공격당했고, 롯데카드측에서는 8월 26일 서버점검 중 감염 확인 한 후 금감원(금융감독원)과 KISA에 신고한 상태다. 오라클 자체의 원격코드 실행 취약점을 이용한 공격으로 확인되었는데, 취약점 자체는 오래전에(2017) 발견되었지만 롯데카드 측에서 8년동안 보안 패치를 진행하지 않았다고 한다. 이번 사건으로 롯데카드 전체 회원 중 3분의 1에 해당하는 개인정보가 유출되었고, 28만명에 대해서는 카드번호, 비밀범호 앞 두자리, CVC번호 유효기간까지 유출되었다.

KT도 사건이 하나 있었는데 SKT가 당했던 BPF도어 공격을 받아서 전사 서버를 조사한 결과, 윈도우 서버 침투 후 측면 이동 시도, Smominru 봇넷 감염, VBScript 기반 원격코드 실행 및 민감정보 탈취 등등… 심지어 비밀키 유출 정황까지도 발견되었다.
8월 5일 소액결제 사건은 용의자 중국인 2 명이 체포되었고, IMSI(국제모바일가입자식별번호)는 물론 IMEI(국제단말기식별번호)와 휴대전화 번호가 유출된 정황이 확인되었다.

---

최근 중국어 이력서로 위장해서 RAT(Remote Access Trojan)를 유포하는 공격이 있었다. ‘내 이력서’라는 pdf파일을 다운받고 실행시키면 위장용 이력서가 나타나는 동시에 백그라운드에선 APPDATA경로에 security 디렉토리를 생성 후 c2 서버에서 pkg.zip를 다운받아 압축해제 후 keytool.exe 파일과 CreateHiddenTask.vbs 파일을 실행시킨다.

CreateHiddenTask.vbs 파일은 작업 스케줄러에 작업을 등록하는 역할을 하며, 등록이 완료되면 현재 실행중인 VBS 파일을 삭제해 흔적을 지운다.

keytool.exe 파일은 폴더안에 있는 악성 jli.dll 파일이 사이드 로딩되며 keytool.exe 파일 내부에 저장되어 있는 쉘코드를 복호화 하고 실행한다. (keytool.exe와 jli.dll의 이름은 모두 자바 설치 후 나타나는 파일들의 이름이다.)

쉘코드가 실행되면 c2서버에 접속을 시도하며 추가 페이로드 및 악성코드를 수신한다.