Unmasking the new persistent attacks on Japan
Unmasking the new persistent attacks on Japan
Cisco Talos has discovered an active exploitation of CVE-2024-4577 by an attacker in order to gain access to the victim's machines and carry out post-exploitation activities.
blog.talosintelligence.com
- 초기 침투 경로
- 공격자는 PHP-CGI의 원격 코드 실행 취약점(CVE-2024-4577)을 악용해 피해 시스템에 초기 접근
- 공격에 사용된 공개 exploit 스크립트는 취약 URL 확인 후 PHP 코드를 원격으로 실행
- PowerShell 인젝터 스크립트를 통해 메모리 내에서 Cobalt Strike 리버스 HTTP 쉘코드 실행
- 공격 도구 및 기법
- Cobalt Strike의 커스텀 플러그인 세트(TaoWu)를 활용한 후속 활동 수행
- JuicyPotato, RottenPotato, SweetPotato 등 UAC 우회 및 SYSTEM 권한 획득 도구 사용
- Windows 레지스트리 및 작업 스케줄러 설정 변경, 악성 서비스 생성 등으로 지속성 확보
- wevtutil을 통해 보안 이벤트 로그 삭제로 탐지 회피
- fscan.exe, Seatbelt.exe, SharpGPOAbuse.exe 등을 통한 네트워크 정찰 및 수평 이동 시도
- 자격 증명 탈취 및 데이터 탈취
- Mimikatz를 이용해 메모리에서 자격 증명, NTLM 해시 탈취
- 수집된 정보는 HTTP 기반 C2 채널을 통해 외부로 유출
- 공격 인프라 및 악용 도구
- C2 서버는 알리바바 클라우드 기반, 디렉토리 리스트와 명령 실행 이력 노출
- Gitee 플랫폼의 합법적 보안 교육 리포지토리(yijingsec)에서 유포된 “LinuxEnvConfig.sh” 스크립트 활용
- 스크립트는 다양한 공격 프레임워크 및 도구를 자동으로 설치 및 구성
- 악용된 공격 프레임워크
- Blue-Lotus: JavaScript 기반 XSS 프레임워크, 쿠키 탈취 및 웹셸 삽입 기능 보유
- BeEF: 브라우저 후킹 프레임워크, 피해자 브라우저 내 명령 실행 및 정보 수집 가능
- Viper C2: 다기능 침투 테스트 프레임워크, 리버스 쉘 페이로드 생성 및 전달 기능 제공
- 공격자 특징 및 연관성
- 공격자 행위는 2024년 “Dark Cloud Shield” 또는 “You Dun” 그룹의 TTP와 유사
- 그러나 공격 후 추가적인 행동이 없어 해당 그룹으로의 직접적인 귀속은 보류
- 결론
- 웹 애플리케이션 취약점을 악용한 초기 접근 및 고도화된 권한 상승, 은폐, lateral movement 기법이 복합적으로 사용됨
- 악성 행위자의 TTP는 정교화되고 있으며, 합법적 리소스를 공격에 재사용함으로써 탐지 회피도 강화되고 있음
- 조직은 공개 소스 도구의 악용 가능성에 대비한 방어 전략과 지속적인 시스템 취약점 점검 및 로그 분석 역량이 요구됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| InvokeADCheck PowerShell 모듈을 활용한 Active Directory 보안 점검 자동화 (0) | 2025.04.01 |
|---|---|
| BadBox 2.0 악성코드, 100만 대 이상 안드로이드 기기 감염…Google Play 통해 유포 (0) | 2025.04.01 |
| Bybit 핫월렛 스마트컨트랙트 해킹 기술 분석 (0) | 2025.04.01 |
| eBPF는 컨테이너 네트워킹을 어떻게 바꿔놓았나 (0) | 2025.03.31 |
| 2025년 데이터 및 분석 전략을 이끄는 9가지 핵심 키워드 (0) | 2025.03.31 |