Home암호화폐Crypto Threat Actors Lazarus는 AppleJeus로 Cryptocurrency 사용자를 목표로 합니다.

Crypto Threat Actors Lazarus는 AppleJeus로 Cryptocurrency 사용자를 목표로 합니다.

맬웨어 활동

새로운 캠페인은 통신 및 비즈니스 프로세스 아웃소싱 회사를 대상으로 합니다.

통신 및 비즈니스 프로세스 아웃소싱(BPO) 기업에 대한 표적 증가가 확인되어 새로운 캠페인과 연결되었습니다. 연구원들은 이 캠페인의 목적이 이동통신사 네트워크에 대한 액세스 권한을 얻고 SIM 스와핑 활동을 수행하는 것이라고 설명했습니다. 분석된 사건의 대부분에서 공격자는 사회 공학(전화 통화, SMS 또는 텔레그램을 통해)을 통해 IT 직원을 사칭하여 초기 액세스 권한을 얻었습니다. 그런 다음 피해자는 자격 증명 수집 웹 사이트를 방문하거나 상업용 RMM(원격 모니터링 및 관리) 도구를 다운로드하여 실행하도록 지시했습니다. 다단계 인증이 활성화된 경우 공격자는 MFA 푸시 알림 피로도를 활용하여 푸시 챌린지를 수락할 때까지 피해자에게 MFA 프롬프트를 계속 전송하거나 피해자가 OTP(일회용 암호)를 공유하도록 설득합니다. 공격자가 피해자 환경에 대한 액세스 권한을 얻은 후 다양한 비악의적 RMM 도구를 통해 지속성을 설정하고 지속적인(종종 매일) 활동을 수행했습니다. 연구원들은 공격자가 “Windows, Linux, Google Workspace, AzureAD, M365 및 AWS 환경”에서 작동하며 이전에 SharePoint 및 OneDrive 환경에 액세스한 적이 있다고 강조했습니다. 현재 이 캠페인은 eCrime의 적 SCATTERED SPIDER에 대한 신뢰도가 낮습니다. CTIX는 통신 및 BPO 조직을 대상으로 하는 캠페인을 계속 모니터링할 것입니다.

위협 행위자 활동

Lazarus 위협 행위자는 “AppleJeus”로 암호 화폐 사용자를 목표로 합니다.

잘 알려진 북한 공격자들이 “AppleJeus” 악성코드 배포를 최종 목표로 암호화폐 사용자에 대한 새로운 사회 공학 캠페인을 시작했습니다. APT38로도 추적되는 Lazarus Group은 북한과 연계된 가장 악명 높은 위협 그룹 중 하나입니다. Lazarus는 상대국이 북한에 부과하는 엄격한 제재로 인한 재정적 부담을 완화하기 위해 금융 사이버 범죄에 집중하고 있습니다. 이 새로운 캠페인에서 Lazarus 행위자는 암호화폐 사용자 및 제휴 조직에 대해 스피어 피싱 공격을 수행하고 있습니다. 이 캠페인의 첫 번째 사례에는 암호화폐 사용자가 거래 알고리즘을 자동화하는 데 활용하는 인기 있는 암호화 스크립팅 애플리케이션 사이트를 복제하는 Lazarus 행위자가 포함되었습니다. 복제된 사이트에서 다운로드하면 악성 MSI 설치 프로그램이 AppleJeus 악성코드로 트로이 목마화됩니다. 또한 Lazarus 공격자는 QTBitcoinTransfer 애플리케이션(이전에는 위협 그룹이 사용)을 악성 코드에 포함시켰습니다. 다음 물결에는 악성 Microsoft Office 문서가 포함된 피싱 이메일을 피해자에게 배포하는 위협 행위자가 포함되었습니다. 일단 열리고 권한이 활성화되면 포함된 매크로 코드가 피해자의 시스템에 맬웨어를 배포하여 AppleJeus 맬웨어로 피해자의 시스템을 성공적으로 감염시킵니다. CTIX는 위협 행위자의 손상 위험을 줄이기 위해 첨부 파일을 다운로드하거나 포함된 링크를 방문하기 전에 모든 이메일 통신의 무결성을 검증할 것을 사용자에게 계속 촉구합니다.

취약점

CISA의 KEV 카탈로그에 중요한 Oracle Access Manager 취약점이 추가됨

SEC Consult Vulnerability Lab의 Wolfgang Ettlinger라는 보안 연구원은 CISA(Cybersecurity and Infrastructure Security Agency)에 따라 적극적으로 악용된 Oracle Fusion Middleware Access Manager의 치명적인 취약점을 확인했습니다. 적극적인 악용으로 CISA의 KEV(Known Exploited Vulnerabilities) 카탈로그에 취약점이 추가되었습니다. 악용에 성공하면 원격 공격자가 인증을 우회하고 RCE(원격 코드 실행)를 수행하여 모든 사용자 계정을 완전히 제어할 수 있습니다. OAM(Oracle Access Manager)은 Oracle Fusion Middleware의 인증 구성 요소로, 모바일 애플리케이션 및 외부 클라우드에 대한 보안 액세스를 가능하게 하는 “MFA가 있는 웹 SSO, 대략적인 인증 및 세션 관리, 표준 SAML 연합 및 OAuth 기능과 같은 인증을 제공합니다. ” 공격자는 대상 계정의 인증 쿠키를 캡처하기 위해 패딩 오라클 공격을 수행하여 사용자 계정 정보를 공개하도록 OAM을 속일 수 있습니다. 여기에서 공격자는 관리자 계정을 포함한 모든 사용자의 로그인 키를 생성하는 스크립트를 개발할 수 있습니다. Ettlinger는 자신의 보고서에 동영상 PoC(개념 증명)를 포함하여 익스플로잇을 처음부터 끝까지 수행합니다. CVE-2021-35587로 등록된 이 취약점은 원래 2022년 1월에 패치되었으며 CISA에 따르면 최소 10번 이상 악용되었습니다. KEV에 존재하면 모든 FCEB(Federal Civilian Executive Branch) 기관이 ​​2022년 12월 19일까지 취약한 시스템을 패치해야 합니다. 현재 위협 행위자 자체에 대한 구체적인 정보는 없지만 공격은 미국, 중국, 독일, 싱가포르, 캐나다 출신. CTIX는 모든 Oracle Fusion Middleware Access Manager 관리자가 악용을 방지하기 위해 최신 패치를 설치했는지 확인할 것을 권장합니다.

저작권 © 2022 Ankura Consulting Group, LLC. 판권 소유.국가 법률 검토, 볼륨 XII, 번호 341

최신 기사

더 탐색