본문 바로가기
최신 보안 동향

해커가 새로운 Windows Defender 제로데이를 통해 DarkMe 멀웨어 배포

IBack 2024. 2. 14. 14:54

출처

 

https://www.bleepingcomputer.com/news/security/hackers-used-new-windows-defender-zero-day-to-drop-darkme-malware/

 

Hackers used new Windows Defender zero-day to drop DarkMe malware

Microsoft has patched today a Windows Defender SmartScreen zero-day exploited in the wild by a financially motivated threat group to deploy the DarkMe remote access trojan (RAT).

www.bleepingcomputer.com

 

본문 내용

 

Microsoft는 금전적 동기를 지닌 위협 그룹이 DarkMe 원격 액세스 트로이 목마(RAT)를 배포하기 위해 실제로 악용한 Windows Defender SmartScreen 제로데이를 어제 패치했다.

 

트렌드마이크로 보안 연구원들에 의해 새해 전날 공격에 제로데이(CVE-2024-21412)를 사용한 해킹 그룹( tracked as Water Hydra and DarkCasino )이 발견되었다. 마이크로소프트는 오늘 발표된 보안 권고에서 “인증되지 않은 공격자는 표시된 보안 검사를 우회하도록 설계된 특수 제작된 파일을 대상 사용자에게 보낼 수 있습니다.”라고 밝혔다."

 

 

그러나 공격자는 사용자가 공격자가 제어하는 ​​콘텐츠를 보도록 강요할 수는 없다. 대신 공격자는 파일 링크를 클릭하여 조치를 취하도록 사용자를 설득해야 한다." 이 제로데이를 보고한 공로를 인정받은 Trend Micro 보안 연구원 Peter Girnus는 CVE-2024-21412 결함이 또 다른 Defender SmartScreen 취약점(CVE-2023-36025)을 우회한다고 밝혔다.

 

CVE-2023-36025는 2023년 11월 화요일에 패치되었으며, Trend Micro가 지난달 공개한 바와 같이 Phemedrone 정보 스틸러 악성코드를 배포하기 위해 URL 파일을 열 때 Windows 보안 프롬프트를 우회하는 데에도 악용되었다. 

 

그림 1

 

금융 시장 거래자를 표적으로 잡은 제로데이

 

Microsoft가 어제 패치한 제로데이는 "고액 외환 거래 시장에 참여하는 외환 거래자"를 대상으로 한 공격에 사용되었으며, 최종 목표는 데이터 도난 또는 랜섬웨어 배포일 가능성이 높다. 트렌드마이크로는 "2023년 12월 말, 인터넷 바로 가기(.URL) 및 웹 기반 분산 저작 및 버전 관리(WebDAV) 구성 요소를 악용하는 유사한 도구, 전술 및 절차(TTP)를 포함하는 Water Hydra 그룹의 캠페인을 추적하기 시작했다."라고 설명했다.

"다른 바로 가기 내에서 바로 가기를 호출하는 것만으로도 신뢰할 수 없는 소스에서 파일을 열거나 실행할 때 사용자에게 경고하는 중요한 Windows 구성 요소인 웹 마크(MotW)를 제대로 적용하지 못하는 스마트스크린을 회피할 수 있다는 결론을 내렸다."

Water Hydra라는 CVE-2024-21412를 악용하여 외환 거래 포럼과 주식 거래 텔레그램 채널을 스피어피싱 공격에 표적으로 삼아 외환 브로커 플랫폼(fxbulls[.]com)을 사칭하여 손상된 러시아 거래 정보 사이트(fxbulls[.]ru)로 연결되는 악성 주식 차트를 푸시했다.

 

공격자의 목표는 소셜 엔지니어링을 통해 표적 트레이더를 속여 DarkMe 멀웨어를 설치하도록 유도하는 것이었다. 영어와 러시아어로 거래 안내를 요청하거나 제공하는 메시지를 게시하고, 그래프 기술 분석 및 그래프 지표 도구와 관련된 위조 주식 및 금융 도구를 유포하는 등의 수법을 사용했다.

새로 관찰된 DarkMe 멀웨어 캠페인의 전체 침해 지표(IoC) 목록은 (출처의 본문)에서 확인할 수 있다.

Water Hydra 해커들은 과거에도 다른 제로데이 취약점을 악용한 적이 있다. 예를 들어, 5억 명 이상의 사용자가 사용하는 WinRAR 소프트웨어의 심각도가 높은 취약점(CVE-2023-38831)을 이용하여 패치가 제공되기 몇 달 전에 거래 계정을 손상시켰다.

이후 다른 공급업체들은 러시아, 중국, 북한의 샌드웜, APT28, APT40, 다크핑크(NSFOCUS), 코니(Knownsec) 위협 그룹을 비롯한 여러 정부 지원 해킹 그룹과 CVE-2023-38831 익스플로잇을 연결했다.

오늘 Microsoft는 공격자가 스마트스크린에 코드를 삽입하고 코드 실행 권한을 얻을 수 있도록 하는 두 번째 Windows 스마트스크린 제로데이(CVE-2024-21351)가 야생에서 악용되는 것을 패치했다.

 

'최신 보안 동향' Related Articles

티스토리툴바