[긴급] 北 추정 해킹그룹, 보안업체 코드서명 인증서 또 악용
보안뉴스 2019-07-30
#라이플 #안다리엘 #코드 서명 인증서 #해킹 #국방 #방위산업체 #북한 #Rifle #Andariel
라이플 혹은 안다리엘로 불리는 공격조직의 특정 암호 알고리즘 포함된 코드 유포
정보보호 기업 M사의 코드 서명 인증서 발견...해킹 가능성 제기
국내 유관기관에 해당 사건 전파...긴급 대응중
- 라이플(Rifle) 혹은 안다리엘(Andariel)
- 정보보호 기업 M사의 코드서명 인증서가 발견되면서 해당 기업의 보안 솔루션을 사용하는 이용자들 역시 비상
- M사의 보안솔루션으로 위장할 가능성이 커
라이플(안다리엘)은 2013년 방송과 금융, ISP 회사를 대상으로 한 사이버테러로 국내에 알려졌으며, 2015년 방위산업체 스피어피싱과 2016년 I사 코드서명 인증서 탈취, 2016년 국방관련 기밀탈취와 2017년 VAN사 해킹을 통한 ATM 공격 등 그간 국내 기관과 기업을 꾸준히 노려왔던 것으로 알려졌다.
보안기업 M사 코드서명 인증서 악용 악성코드 일파만파... KISA는 ‘긴급공지’
보안뉴스 2019-08-01
#코드서명 #인증서 #악성코드 #KISA #긴급공지 #라이플 #안디리엘 #SHA-1
보안기업 M사, 해당 인증서 포함한 자사 모든 인증서 폐기... “어느 제품에서 사용했는지는 알 수 없어”
KISA, 긴급공지 통해 해당 사실 전파...기업 방화벽에 3개월간 접근흔적 검색 요청
문제는 M사의 SHA-1 인증서가 어느 제품에 사용된 것인지 제대로 체크하지 못하고 있다는 점이다. 분명 자사가 사용하는 인증서임에도 불구하고 사건 인지 3일째까지도 어느 제품에 사용하고 있는지 알 수 없다고 하는 것은 평소에 인증서 관리를 제대로 하지 않았거나 어느 제품에 사용하고 있는지 알고 있음에도 외부에는 알리지 않겠다는 것, 둘 중 하나다.
M사 관계자는 본지와의 통화에서 “관련 고객사에게 일일이 공문을 보내고 직접 연락을 취해 해당 사실을 알리는 한편, 고객의 피해가 없도록 하고 있다”고 설명했는데, 이는 결국 언론 등 외부에 알리지 않겠다는 의지기사니까 점잖게 "의지"라고 써줬는데, 다른 말로 "수작"이라고 적으면 딱입니다.
KISA는 공지를 통해 방화벽 등에 명령제어 서버 IP 또는 URL(51.254.60[.]208/common/javaupdatemain.tmp, 현재 차단되어 있음) 접근 흔적이 존재하는지 확인해 달라면서, 접근흔적이 있을 경우 KISA로 관련 정보를 공유해 달라고 요청했다. 아울러 최대한 이전 내역부터 검색이 필요하며, 최소 3개월 이상을 권장했다.
악성코드 분석 리포트
국내 보안업체의 유효한 디지털서명을 탑재한 악성코드 주의!
알약(Alyac)2019.07.30
출처: https://blog.alyac.co.kr/2446 [이스트시큐리티 알약 블로그]
2019년 7월 30일, 국내 DRM/문서보안업체의 유효한 디지털서명이 탑재된 악성코드가 URL을 통해 유포되고 있는 것이 확인되어 주의가 필요합니다."알약에서는 해당 악성코드에 대해 Trojan.Agent.75232 로 탐지"
이번에 포착된 악성코드의 경우, 일단 감염이 이뤄지게 되면 스케쥴러에 Jav Maintenance64라는 이름으로 자기자신을 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치합니다. 공격자는 봇에 감염된 PC에 임의의 추가 악성행위를 수행할 수 있게 됩니다.
이번 악성코드는 국내 보안업체의 디지털서명을 악용한 것이 가장 주목할 만한 부분이라고 할 수 있습니다. 디지털서명이 있는 모듈은 일반적으로 해당업체의 서명이 포함된 위변조되지 않은 무결성을 가진 프로그램이라고 인식하기 때문에 화이트리스트 기반 솔루션 및 보안장비 등을 우회하기에 상대적으로 용이합니다. 공격자들은 이점을 노려 정상적인 보안업체의 디지털서명을 탈취하여 공격에 악용하려 했던 것으로 보여집니다.
출처: https://blog.alyac.co.kr/2446 [이스트시큐리티 알약 블로그]
이스트소프트는 알약 백신보다는 기업보안쪽으로 명성을 쌓는 것 같군요. :)
댓글 없음:
댓글 쓰기