월드 투어:
Menlo의 보안 엔터프라이즈 브라우저를 통해 어떻게 공격자보다 한 발 앞서 나갈 수 있는지 실시간으로 살펴보세요.
__wf_예약_상속

홀리 SEO 중독 사례: 솔라마커 멀웨어

Menlo Labs
|
October 26, 2021
__wf_예약_상속
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속
__wf_예약_데코레이션

Menlo Labs 팀에서는 기존의 보안 조치를 우회하여 조직이 아닌 사용자를 대상으로 하는 공격이 증가하고 있습니다.우리가 추적하고 있는 Menlo Labs를 예로 들 수 있습니다. SolarMarker라는 활발한 캠페인이 있습니다.SEO 중독을 이용해 고객에게 악성 페이로드를 제공하는 공격자가 증가하고 있으며, 성공률도 높습니다.이러한 유형의 고도로 회피적인 공격은 이전에도 나타났지만 최근 몇 달 동안 이러한 새로운 물결의 속도, 규모 및 복잡성이 증가했습니다.

홀리 SEO 중독

핵심 요약

멘로 랩스 현재 솔라마커라는 활성 캠페인을 트래킹하고 있습니다.고객에게 악성 페이로드를 제공하기 위해 SEO 포이즈닝을 사용하여 성공률이 높은 공격자가 증가하고 있습니다.지난 몇 개월 동안 전 세계 고객 기반에서 최소 두 가지 이상의 캠페인 사례를 확인했습니다.

  • 부트로더 캠페인: 이 캠페인은 ReVil 랜섬웨어를 제거하는 것으로 나타났습니다.
  • 솔라마커 캠페인: 이 캠페인은 SolarMarker 백도어를 포기하는 것이 목격되었습니다.

멀웨어와 손상 후 CnC 트래픽에 대한 세부 정보를 제공하는 여러 블로그를 이용할 수 있습니다.이 블로그에서는 공격 전달 메커니즘과 전개 상황에 따른 공격 범위에 대한 통찰력을 제공합니다.

SolarMarker 외에도 Menlo Labs 팀에서는 기존 보안 조치를 우회하여 조직이 아닌 사용자를 대상으로 하는 공격이 증가하고 있습니다.이러한 유형의 고도로 회피적인 공격은 이전에도 나타났지만, 최근 몇 달 동안 이 새로운 물결의 속도, 규모 및 복잡성이 증가했습니다.악의적인 공격자들은 업무용 디바이스와 개인용 디바이스 사용의 경계가 모호해지는 새로운 세계 질서를 악용하고 있습니다.이러한 공격에서 위협 행위자는 웹 브라우저와 브라우저 기능의 발전을 자신에게 유리하게 활용하여 랜섬웨어를 전송하고 자격 증명을 도용하며 멀웨어를 표적으로 직접 떨어뜨립니다.향후 블로그에서 이러한 공격에 대해 더 자세히 알려드리겠습니다.

감염 벡터

솔라마커 멀웨어 캠페인은 SEO 중독을 이용합니다.공격자는 일반적으로 이 기법을 사용하여 악성 페이지의 순위를 인위적으로 높입니다.이를 위해 사용자가 검색하는 키워드를 악성 웹 사이트에 주입합니다.고객층 전반에 걸쳐 악성 페이지로 이어진 검색어가 매우 다양했습니다.우리는 관찰한 바 있습니다. 2,000개 이상의 고유 검색어 이로 인해 악성 멀웨어 웹사이트가 생겼습니다.지금까지 살펴본 몇 가지 예시는 다음과 같은 검색어입니다.

  • 블루 재킷 오브 더 쿼터 글쓰기 예제
  • 산업 위생 워크스루 설문조사-체크리스트
  • 5 레벨의 PD-평가
  • 스포츠 정신 강인성 설문지

SEO 포지셔닝 공격은 다음과 같은 방식으로 작동합니다.

  • 사용자는 선호하는 검색 엔진을 사용하여 무언가를 검색합니다.
  • 악성 PDF를 호스팅하는 손상된 웹 사이트가 검색 결과에 표시됩니다.
  • 사용자가 SEO에 감염된 링크를 클릭합니다.
  • 사용자는 그림 1과 유사한 악성 PDF를 보게 됩니다.
  • 다운로드 버튼 중 하나를 클릭하면 사용자가 여러 HTTP 리디렉션을 거치게 되며, 그 후에 악성 페이로드가 엔드포인트에 다운로드됩니다.
  • 이 캠페인에서는 페이로드 크기가 세 가지 다른 페이로드가 다운로드되는 것을 관찰했습니다.가장 작은 페이로드는 약 70MB였고 가장 큰 페이로드는 약 123MB였습니다.악성 페이로드의 큰 크기는 샌드박스 및 기타 콘텐츠 검사 엔진에서 정의한 파일 크기 제한을 초과합니다.
Examples of malicious document download links
그림 1

호스팅하는 모든 보안 침해 사이트 악성 PDF 워드프레스 사이트로 확인되었습니다.다음 차트는 전체 고객층에서 악성 PDF를 서비스하는 것으로 확인된 다양한 범주의 웹 사이트를 보여줍니다.분류를 통해 알 수 있듯이 대부분의 사이트는 악성 콘텐츠를 호스팅하기 위해 손상된 악성 사이트였습니다.분석 과정에서 악성 PDF를 제공하는 잘 알려진 교육 및 .gov 웹 사이트를 발견했습니다.안전한 인터넷을 보장하기 위한 노력의 일환으로 피해를 입은 모든 당사자에게 이를 알렸으며, 이 악성 PDF는 삭제되었습니다.

Chart showing URL reputation categories for malicious PDFs, with the huge majority being Business (> 1000) and the second being Non-Profits and NGOs (400)

악성 PDF는 다음과 같은 특정 디렉터리에서 제공되었습니다. /wp-콘텐츠/업로드/강력한/. 이 디렉토리는 웹 사이트에 Formidable Forms라는 워드프레스 플러그인이 설치되어 있을 때 생성됩니다.Formidable Forms는 관리자가 양식을 쉽게 만들 수 있는 플러그인입니다.이 글을 쓰는 시점에서 손상된 URL의 100% 우리 데이터 세트에서 이 특정 디렉토리 위치에서 악성 PDF를 호스팅하고 있었습니다.

다음 차트는 분석된 손상된 웹 사이트에 설치된 Formidable Forms 플러그인의 버전을 나타냅니다.

Chart showing distribution of Formidable Forms version number

버전 5.0.07은 본 조사 당시 Formidable Forms 플러그인의 최신 버전이었으며, 손상된 웹 사이트에서 가장 많이 사용한 버전이었습니다.우리가 관찰한 최소 버전은 2.02.05였습니다.

을 바라보며 변경 로그 Formidable Forms의 경우 플러그인이 업데이트되고 보안 문제가 수정된 것 같습니다.이것이 SolarMarker 캠페인의 초기 벡터의 원인이 된 보안 문제인지 아니면 Formidable Forms가 문제의 취약한 플러그인인지는 확실하지 않지만, 우리가 분석한 모든 손상된 웹 사이트에 설치된 공통 플러그인이었습니다.협업하기 위해 LinkedIn을 통해 Formidable Forms에 연락했지만 안타깝게도 응답을 받지 못했습니다.

SolarMarker 캠페인은 꽤 널리 퍼져 있었으며 고객 기반 전체의 모든 지역과 업종에 영향을 미쳤습니다.다음과 같은 업종에서 PDF 파일을 호스팅하는 악성 링크를 클릭하는 것이 관찰되었습니다.

Pie chart showing industry verticals affected by solarmarker, with the majority being Finance & Investment (42%), Service Provider (9%), Crypto Exchange (8%), and Transportation (8%)

다음 차트는 악성 PDF가 전송된 다양한 위치를 보여줍니다.미국이 상위권을 차지했지만, 이란과 터키의 사이트도 이 캠페인에 사용된 것으로 나타났습니다.

Chart showing Geo Locations where the malicious PDFS were served from, with the huge majority being in the United States

명령 및 제어

솔라마커 백도어 자체는 널리 문서화되어 있습니다.크라우드스트라이크에는 분석 뒷문의.CrowdStrike의 블로그 게시물에 수록된 CnC IP 외에도 멘로 연구소 연구원들은 6개의 다른 CnC IP를 식별할 수 있었습니다.식별된 CnC IP는 멘로 아이솔레이션 코어™ 플랫폼으로 푸시되어 고객이 보호받고 있습니다.

  1. 게시물 http://45.42.201.248/
  2. 게시물 http://37.120.237.251/
  3. 게시물 http://5.254.118.226/
  4. 게시물 http://23.29.115.175/
  5. 게시물 http://216.230.232.134/
  6. 게시물 http://146.70.24.173/

결론

전 세계가 원격 근무로 옮겨감에 따라 브라우저는 업무가 이루어지는 장소가 되었습니다.실제로 Google에서 실시한 연구에 따르면 최종 사용자는 하루 중 평균 75% 를 브라우저에서 보냅니다.A 최근 설문조사 Menlo Security의 조사에 따르면 응답자의 4분의 3이 관리되지 않는 장치에서 애플리케이션에 액세스하는 하이브리드 및 원격 작업자가 조직의 보안에 심각한 위협이 된다고 생각하는 것으로 나타났습니다.응답자의 대다수 (79%) 는 제3자 및 계약업체의 원격 액세스에 대한 보안 전략을 가지고 있지만 원격 근무자가 야기하는 위험에 대해 점점 더 우려하고 있습니다. 응답자의 절반 이상 (53%) 이 향후 12~18개월 동안 시스템 및 리소스에 대한 제3자/협력업체의 액세스를 줄이거나 제한할 계획이라고 답했습니다.

SolarMarker는 공격자가 취약한 사이트를 악용하여 악성 캠페인을 시작할 수 있는 공급망 스타일 공격의 전형적인 예이지만, 공격자가 브라우저 사용 증가와 클라우드 기반 애플리케이션으로 전환하는 기업을 신속하게 악용한 방법을 보여주는 예이기도 합니다.이러한 유형의 공격을 특히 위험하게 만드는 것은 공격을 시작할 때 사용한 방법입니다.이 블로그의 앞부분에서 언급한 바와 같이, 이러한 공격은 기존의 탐지 방법을 피해 사용자를 직접 표적으로 삼도록 특별히 설계되었습니다.

권장 사항

  • Menlo는 원치 않는 범주의 Windows 실행 파일 다운로드를 차단할 것을 권장합니다.
  • 리디렉션의 웹 사이트 대부분은.site 또는.tk TLDS에서 호스팅됩니다. 정책이 허용하는 경우 Menlo는 이러한 TLDS 중 하나로 끝나는 모든 사이트를 차단할 것을 권장합니다.
블로그 카테고리
태그가 지정되었습니다