1. spring4shell(2022-22965) 익스플로잇 제약조건
Reference: https://www.boannews.com/media/view.asp?idx=105890&page=1&mkind=1&kind=1
익스플로잇 조건
- JDK 9+
- Apache Tomcat
- Spring WebMVC와 WebFlux 요소를 통해 Spring beans 패키지가 사용
최근 발견된 취약점으로, 특정 Spring 프레임워크를 사용하는 경우 취약하다. log4j 때만큼 빠른 업데이트 속도가 나타나지 않는 이유는 위와 같이 익스플로잇이 가능하기 위한 조건이 까다롭기 때문이다.
JDK 9 이상 버전부터 새로운 API가 도입이 되고 이를 위해 Spring 보호 장치를 피해 임의의 값을 ClassLoader에 부여하는 것이 가능해진 것이 문제의 근원이라고 말하기도 한다. 하지만 이것이 디폴트 설정은 아니기에 취약한 스프링 버전을 사용하고 있다 해도 어플리케이션이 취약한 상태가 아닐 수 있다.
log4shell에 비해 익스플로잇이 어려운 것 뿐이며 이 또한 공격 가능한 취약점이기에 익스플로잇 조건에 대한 스캔도 함께 병행이 되어야 한다.
2. 패스워드 재사용 및 Supply Chain 공격을 이용하는 FIN7 그룹
Reference: https://thehackernews.com/2022/04/fin7-hackers-leveraging-password-reuse.html
FIN7 으로 알려진 사이버 범죄 그룹이 공급망 공격과 패스워드와 같은 자격증명 재사용을 통합하기 위해 초기 엑세스 벡터를 다양화했다는 연구 결과가 밝혀졌다.
FIN7은 2010년 중반 등장한 그룹으로 POS 기기를 타겟으로 하여 신용카드의 정보를 탈취하는 악성코드 캠페인으로 유명하다. 그리고 현재 FIN7 그룹의 활동이 확인된 조직에서 데이터탈취나 랜섬웨어 등이 존재하는 것으로 보아 FIN7 actor들도 시간이 지나면서 다양한 랜섬웨어 작업들과 연관이 되었음을 시사한다.
2021년 10얼엔 해당 그룹에서 침투 테스터를 모집하기 위해 Bastion Secure 라는 가짜 회사를 설립한 것이 발견되었고, 올해 초 FBI는 금전적인 동기를 가진 갱담이 운송, 보험, 산업 등의 다양한 대상에게 악의적인 USB 드라이브(aka BadUSB)를 통해 랜섬웨어를 포함한 악성코드를 유포한 정황을 확인하였다.
FIN7 그룹이 2020년부터 벌인 공격에는 POWERPLANT라 불리는 Powershell 백도어 프레임워크가 포함이 되어있었으며, 공격시에 지속적으로 Powershell 기반 악성코드를 사용하는 모습으 보였다.
또한 공격 기법 중 디지털 제품을 판매하는 웹사이트를 오염시켜 다운로드 링키를 변경한 후 트로이 목마화 된 버전을 호스팅하는 Amazon S3 버킷을 가리키도록 하는것이 확인되었으며, 해당 버킷에는 합법 원격 도구인 Atera Agent 가 포함되며 이후 POWERPLANT 를 피해자 시스템에 전달한다.
해당 그룹이 사용하는 추가 도구로는 정찰 도구인 EASYLOOK , AMSI를 우회하기 위한 BOALTLAUNCH , .NET 기반 다운로드 프로그램인 BIRDWATCH 가 있다.
'깔짝할짝' 카테고리의 다른 글
| 2022-04-11 (0) | 2022.04.11 |
|---|---|
| 2022-04-07 Thur (0) | 2022.04.07 |
| 2022-04-05 Tue (0) | 2022.04.05 |
| 2022-03-23 Wed (0) | 2022.03.23 |
| 2022-03-22 Tue (0) | 2022.03.22 |