월드 투어:
Menlo의 보안 엔터프라이즈 브라우저를 통해 어떻게 공격자보다 한 발 앞서 나갈 수 있는지 실시간으로 살펴보세요.
멘로 연구소 연구팀은 악명 높은 라자루스 그룹의 활동을 추적하고 있습니다.이 블로그에서는 고객층 전반에서 관찰한 내용과 이를 악용한 위협 행위자들이 조직한 공격을 Menlo가 어떻게 막았는지 살펴보겠습니다. 고도로 회피적인 적응형 위협 (HEAT) 기존 보안 기술을 우회하여 피해자 조직을 손상시키는 기술.
브라우저 익스플로잇으로 2년이 지났습니다.감소하던 공격이 다시 돌아왔습니다.2021년은 브라우저 공격이 가장 많았던 해로, 30개 이상의 제로데이 취약점이 야생에서 활발히 악용되었습니다.PuzzleMaker 및 Lazarus와 같은 위협 행위자는 금전적 및 지적 재산권 도용을 목적으로 멀웨어와 랜섬웨어를 모두 설치하기 위한 초기 액세스 벡터로 브라우저 익스플로잇을 사용했습니다.올해도 다르지 않다는 것이 증명되고 있습니다.2022년 첫 5개월 동안 이미 6개의 브라우저 취약점이 활발하게 악용되었으며, 그 중 하나가 CVE-2022-0609 취약점입니다.
모든 것은 2월에 시작되었습니다.발렌타인 데이에 Google 엔지니어들이 서둘러 제품을 출시했습니다. 패치 아웃 야생에서 활발히 악용되고 있던 심각한 Chrome 브라우저 취약점에 대한 것입니다.라자루스 그룹이 브라우저 익스플로잇을 사용한 것은 이번이 처음이 아닙니다.2021년 1월, 라자루스 그룹은 특히 보안 연구원을 표적으로 삼기 위해 브라우저 익스플로잇을 사용했습니다.이들은 2021년 3월에 다시 이런 일을 벌였습니다.
구글에서 블로그 포스트 당시 구글 연구진은 이 그룹의 제로 데이가 더 많을 수도 있다는 사실을 알아냈고, 실제로 그랬습니다.구글이 지적한 것처럼 CVE-2022-0609 사태는 특히 뉴스 미디어, IT, 암호화폐, 핀테크 같은 산업을 겨냥했습니다.멘로 시큐리티 (Menlo Security) 고객층 전반에서 Menlo Labs 연구팀이 수집한 새로운 통찰력을 통해 미국 정부 기관 및 일본에 기반을 둔 암호화폐 거래소를 포함한 추가 대상을 식별할 수 있었습니다.보안 침해 지표가 처음 발견된 것은 2021년 10월로 거슬러 올라갑니다.위협 행위자들은 자신들의 작전을 위한 레거시 URL 평판 회피 (LURE) 도구로 giantblock.org 도메인을 만들었습니다.이 방법은 잘 알려진 HEAT 기술.
아래는 giantblock.org에 있는 자바스크립트 코드의 스크린샷입니다. 이 코드는 financialtimes365 [.] com을 호출하여 악용의 다음 단계를 가져오는 URL입니다.
라자루스 그룹은 이전 공격에서 악의적인 문서를 초기 접근 방법으로 사용했습니다.더 중요한 것은 이들이 다음을 포함한 보안 회사 로고를 사용했다는 것입니다. 멘로 시큐리티 및 기타 — 악의적인 캠페인의 유인 문서로 사용됩니다.지난 몇 년 동안 공격자들은 공격 성공 확률을 높이기 위해 인기 있는 보안 회사 문서를 사용하는 것을 목격했습니다.이러한 예 중 하나는 다음을 사용한 것입니다. 맨디언트 APT1 위협 보고서.다른 블로그의 세부 정보를 읽어본 결과, 공격자들이 사용한 TTP는 다음과 같습니다.
Menlo Labs는 고객 기반 전반에 걸쳐 라자루스 TTP를 추적하고 있으며 OSINT도 수집했습니다.우리는 이 그룹이 최근에 사용한 공격과 Menlo가 이러한 공격에 대응하기 위해 제공하는 보호 기능을 기반으로 초기 액세스 벡터를 다음 세 가지 범주로 분류했습니다.
멘로 클라우드 보안 플랫폼을 사용하는 고객은 브라우저 제로데이 취약점으로부터 보호되도록 설계되어 있습니다.Menlo를 사용하면 사용자가 플랫폼을 통해 웹사이트를 방문할 때 모든 활성 콘텐츠가 Menlo의 특허받은 Isolation Core™ 에 의해 실행됩니다. 즉, 악성 JavaScript는 사용자 기기가 아닌 Menlo의 클라우드 기반 격리 플랫폼에서 실행되는 격리된 브라우저에서 실행됩니다.멘로는 모바일을 포함한 모든 기기를 보호합니다.Menlo 플랫폼은 익스플로잇으로부터 보호하는 것 외에도 정보 유출을 방지합니다.예를 들어 익스플로잇의 프로파일링 단계에서 JavaScript는 브라우저에서 데이터를 수집하여 공격자에게 다시 보냅니다.이 JavaScript는 사용자의 엔드포인트가 아닌 Menlo 클라우드 브라우저에서 실행되므로 클라우드에 있는 브라우저의 프로필이 공격자에게 전송되어 엔드포인트 시스템의 핑거프린팅을 방지합니다.
타임라인은 플랫폼이 고객층 전체에 제공한 CVE-2022-0609 보호 기능을 보여줍니다.
보안 침해 사후 탐지에 중점을 둔 다른 보안 공급업체와 달리 Menlo 플랫폼은 공격 방지에 중점을 둡니다.Lazarus에서 사용하는 문서와 마찬가지로 매크로가 많이 포함된 무기화된 문서의 경우, Menlo 플랫폼은 클라우드에서 문서를 안전한 방식으로 렌더링하고, 문서에 대한 추가 분석을 수행하고, 원본 문서의 다운로드를 방지하거나 안전한 버전의 문서를 다운로드할 수 있습니다.이 안전한 버전의 문서는 매크로와 같은 의심스러운 코드를 제거하지만 문서의 구조와 구성은 그대로 유지합니다.
지난 몇 달 동안 Menlo Labs는 Lazarus에서 사용하는 것과 유사하게 암호로 보호된 아카이브 파일 또는 암호로 보호된 문서에 있는 악성 페이로드의 수가 증가한 것을 확인했습니다.
라자루스 (Lazarus) 와 같은 국가 주체 외에도 Emotet과 Qakbot과 같은 초기 액세스 브로커들도 이러한 전술을 사용하여 기존 방어 시설을 우회하고 있습니다.
Menlo 플랫폼은 사용자에게 암호를 입력하라는 메시지를 표시하여 문서/아카이브를 해독할 수 있습니다.사용자가 암호를 제공하지 않으면 악성 개체는 엔드포인트에 도달할 수 없습니다.사용자가 암호를 제공하면 악성 개체가 Isolation Core™ 레이어에 열려 분석됩니다.그런 다음 적절한 정책을 적용하여 엔드포인트 손상을 방지합니다.
브라우저 익스플로잇이 순식간에 돌아왔습니다.HEAT 기술을 활용하여 기존 방어 체계를 우회하는 공격자의 수가 증가하고 있습니다.Menlo 플랫폼은 다른 보안 패러다임을 제공합니다. 즉, 보안에 대해 좌파적인 태도를 취하여 대부분의 공격이 성공하지 못하게 막습니다.당사의 솔루션은 공격 방지에 기반을 두고 있습니다. 이는 랜섬웨어 및 기타 멀웨어 공격이 이미 발생한 후 이를 처리하는 것보다 비용이 훨씬 적게 드는 접근 방식입니다.
