728x90
- 소포스는 '썩은 토마토 캠페인' APT 분석보고서를 통해, 공격자가 일반적인 APT공격에 있어서 어떻게 악성
코드들과 방법론들을 사용하는지 발표함
주요내용
- 소포스는 '토마토 정원 캠페인'-수많은 별개의 공격자 파벌들이 마이크로소프트 워드의 동일한 제로데이
취약점을 악용한 공격-의 후속 작업으로 ‘썩은 토마토 캠페인’이라는 이름을 사용함
- '썩은'이란 이름은 일부 샘플들이 이전 캠페인과 비교했을 때 효과적으로 실행되지 않기 때문에 명명한 것임
- 소포스는 '썩은 토마토'는 러시아를 경유해 실행된 진정으로 개인화된 공격 캠페인이라고 의미를 부여
- 소포스는 지난 2년동의 악성코드 변종들의 진화를 지속적으로 관찰하고, 이번 캠페인으로 보안결함을 분석
하여 발표, 또한 이러한 악성코드 개발자들은 매우 활발히 활동화는 APT 공격조직원이며, 이들은 아마도
중국정부의 지원하에 여러건의 개인화된 공격을 실행한 적이 있다고 언급
- 공격자들은 Zbot 트로잔을 심기위해서, 다음과 같은 몇가지 취약점을 악용, 대표적으로 오랫동안 유행한
CVE-2012-0158 보안 결함은 물론, 최근의 취약점인 CVE-2014-0761을 악용함
- 공격그룹은 어떻게든 상기 언급된 취약점들을 악용한 문서를 가지고, 익스플로잇 된 문서와 쉘코드는 그대로
남겨두고, 단지 끝부분에 첨부된 암호화된 실행파일을 변경함
- Plugx 악성코드 그룹으로 분류할 수 있는 이번 캠페인은 하나의 무기의 실패가 입증되더라도 이를 극복하기
위해 한 개의 무기에 두 개의 서브무기를 장착하는 작전으로 공격을 수행하도록 악성코드를 생성함
- 아울러, 이전의 결함들이 이미 패치되어 있는 컴퓨터 내부에서 오염 가능성이 제기하고 높임에 따라, 보안
회사들에게 스트레스를 부여하는 등 실제적인 위협요소를 상승시킴
- 수많은 악성코드 개발자들은 다음과 같은 변종들-아래 SHA1의 악성코드 변종으로, RTF 접두사 붙은 Zbot
샘플로 인코딩 되어 있음-을 하나의 공격 템플릿으로 이용함
※ SHA1 : c3a7cb43ec13299b758cb8ca25eace71329939f7
< 주요 두 취약점을 이용한 콤보셋트 템플릿의 다양한 공격 모듈 흐름 >
[출처]
1. http://www.spamfighter.com/News-19307-Cyber-Criminals-Using-CodesMethodologies-Typical-in-APT-Assaults-Says-Sophos.htm
2. http://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-rotten-tomato-campaign.pdf
3. http://blogs.sophos.com/2014/10/30/the-rotten-tomato-campaign-new-sophoslabs-research-on-apts/
4. https://nakedsecurity.sophos.com/advanced-persistent-threats-the-new-normal/
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| POS 악성코드 발견 (0) | 2014.12.03 |
|---|---|
| OS 플랫폼에 따라 리다이렉트 경로를 변경하는 Viber 스팸메시지 (0) | 2014.12.03 |
| 맥아피, 윈도우 오피스 OLE 취약점 패치(MS-060)를 우회하는 취약점 발견 (0) | 2014.12.03 |
| 시스코(cisco), 보안분석 툴 오픈소스(OpenSOC) 공개 (0) | 2014.12.03 |
| 2014년 사이버 공격에 사용된 POS malware 분석 보고서 (0) | 2014.12.03 |