라자루스 그룹 브라우저 익스플로잇 효과

핵심 요약

Menlo Labs 연구팀은 악명 높은 라자루스 그룹의 활동을 추적하고 있습니다. 이 글에서는 고객 기반에서 관찰한 내용과 Menlo가 이 위협 배우자들이 희생자 조직을 침해하기 위해 기존 보안 기술을 우회하는 고도로 회피적인 적응형 위협(HEAT) 기법을 이용한 공격을 어떻게 막았는지를 다룰 것입니다.

감염 경로

CVE-2022-0609

브라우저 익스플로잇에 대한 지난 2년이 놀라울 정도로 격변했습니다. 감소 추세에 있던 공격 유형이 되살아났습니다. 2021년은 브라우저 익스플로잇의 기록적인 해였으며, 야생에서 활발히 악용되고 있는 30개 이상의 제로데이 취약점이 있습니다. 퍼즐메이커와 라자루스와 같은 위협 배우자들은 악성 코드와 랜섬웨어를 설치하여 금전적 이익과 지식재산을 훔치기 위한 초기 접근 경로로 브라우저 익스플로잇을 사용했습니다. 올해도 다르지 않습니다. 2022년 처음 다섯 달 동안 이미 6개의 브라우저 취약점이 활발하게 악용되었으며, 그 중 하나는 CVE-2022-0609입니다.

이 모든 것은 2월에 시작되었습니다. 발렌타인 데이에 구글 엔지니어들은 야생에서 활발히 악용되고 있는 중요한 크롬 브라우저 취약점에 대한 패치를 급히 발행했습니다. 이것은 라자루스 그룹이 브라우저 익스플로잇을 사용한 첫 번째 사례가 아닙니다. 2021년 1월에는 라자루스 그룹이 보안 연구원들을 특정 대상으로 브라우저 익스플로잇을 사용했습니다. 이것은 2021년 3월에도 다시 일어났습니다.

당시 구글 블로그 게시물에서 구글 연구원들은 그룹이 더 많은 제로데이를 가지고 있을 수 있다고 언급했고, 실제로 그들은 그랬습니다. 구글이 지적한 바와 같이, CVE-2022-0609는 뉴스 미디어, IT, 암호화폐 및 핀테크와 같은 산업을 특정 대상으로 했습니다. Menlo Labs 연구 팀이 Menlo Security 고객 기반에서 수집한 새로운 통찰력을 통해 미국 정부 기관과 일본 기반의 암호화폐 거래소를 포함한 추가 대상을 확인할 수 있었습니다. 최초의 탈취 표시는 2021년 10월까지 거슬러 올라갑니다. 위협 배우자들은 giantblock.org 도메인을 기존 URL 평판 회피(LURE) 도구로 사용하여 작업을 수행했습니다. 이것은 잘 알려진 HEAT 기술입니다.

1. 초기 접근: 라자루스 그룹은 LURE 도구를 통해 유명한 금융 웹사이트를 침해합니다.
2. 초기 접근: 공격자가 피해자에게 악성 URL을 전송합니다.
3. 침해된 웹사이트: 사용자가 침해된 웹사이트를 방문합니다. 웹사이트는 여러 가지 방법으로 침해될 수 있습니다.
4. 사용자 프로파일링: 웹사이트는 피해자의 브라우저에 자바스크립트 프로파일러를 제공합니다.
5. 프로파일러 스크립트는 페이지 해상도, 사용자 에이전트 및 기타 클라이언트 정보를 수집하고 익스플로잇 서버로 전송합니다.
6. 다단계 익스플로잇: 요구 사항이 충족되면 Chrome RCE(원격 코드 실행) 익스플로잇과 추가 자바스크립트가 전달됩니다.

아래는 giantblock.org의 자바스크립트 코드 스크린샷으로, 다음 단계의 악용을 가져오는 URL인 financialtimes365[.]com을 호출합니다.

라자루스가 시작한 다른 캠페인

이전 공격에서 라자루스 그룹은 초기 접근 방법으로 악성 문서를 사용했습니다. 더 중요한 것은, 그들이 Menlo Security와 다른 회사들을 포함한 보안 회사 로고를 가장하여 악성 캠페인에서 교묘한 문서로 사용했다는 것입니다. 지난 몇 년 동안 공격자들이 인기 있는 보안 회사 문서를 공격에 사용하여 성공 확률을 높이는 것을 보았습니다. 그러한 예로는 Mandiant APT1 위협 보고서 사용이 있습니다. 다른 블로그의 세부 정보를 읽어 보면, 공격자들이 다음과 같은 TTP(전술, 기술 및 절차)을 사용했습니다.

1. 매크로가 포함된 무기화된 문서
2. 비밀번호로 보호된 첨부파일
3. 컴파일된 HTML 파일

Menlo의 라자루스 TTP에 대한 보호

Menlo Labs는 고객 기반에서 라자루스의 TTP를 추적하고 OSINT를 수집하고 있습니다. 최근에 이 그룹이 사용한 공격과 Menlo가 이를 대응하기 위해 제공하는 보호에 기반하여 초기 접근 경로를 다음 세 가지 카테고리로 분류했습니다.

웹 익스플로잇 보호

Menlo 클라우드 보안 플랫폼을 사용하는 고객들은 Menlo의 설계에 따라 브라우저 제로데이 취약점에 대한 보호를 받습니다. Menlo를 사용하면 사용자가 플랫폼을 통해 웹사이트를 방문할 때 모든 활성 콘텐츠가 Menlo의 특허받은 Isolation Core™에서 실행됩니다. 이는 악성 자바스크립트가 사용자의 기기가 아닌 Menlo의 클라우드 기반 격리 플랫폼에서 실행된다는 것을 의미합니다. Menlo는 모든 기기를 보호합니다 – 모바일도 포함합니다. 익스플로잇에 대한 보호 외에도 Menlo 플랫폼은 정보 유출을 막습니다. 예를 들어, 익스플로잇의 프로파일링 단계에서 자바스크립트는 브라우저에서 데이터를 수집하고 공격자에게 되돌려 보냅니다. 이 자바스크립트가 Menlo 클라우드 브라우저에서 실행되고 사용자의 엔드포인트에서 실행되지 않기 때문에, 클라우드의 브라우저 프로필이 공격자에게 전송되어 엔드포인트 시스템의 지문을 찾는 것을 방지합니다.

플랫폼이 CVE-2022-0609에 대해 고객 기반에서 제공한 보호를 보여주는 타임라인입니다.

무기화된 문서에 대한 보호

다른 보안 업체들이 탈취 후 탐지에 중점을 두는 반면, Menlo 플랫폼은 공격 예방에 초점을 맞춥니다. 라자루스와 같이 매크로가 포함된 무기화된 문서의 경우, Menlo 플랫폼은 클라우드에서 문서를 안전하게 렌더링하고, 문서에 대한 추가 분석을 수행한 후, 원본 문서의 다운로드를 방지하거나 문서의 안전한 버전을 다운로드할 수 있습니다. 이 안전한 버전의 문서는 매크로와 같은 의심스러운 코드를 제거하지만, 문서의 구조와 구성을 유지합니다.

비밀번호로 보호된 문서/아카이브에 대한 보호

지난 몇 달 동안 Menlo Labs는 라자루스와 같은 비밀번호로 보호된 아카이브 파일 또는 비밀번호로 보호된 문서에 악성 페이로드가 포함된 것이 늘어나고 있음을 확인했습니다.

라자루스와 같은 국가주도의 공격자들뿐만 아니라 Emotet 및 Qakbot과 같은 초기 접근 브로커들도 이 전략을 사용하여 기존 방어를 우회하고 있습니다.

Menlo 플랫폼은 사용자에게 비밀번호를 입력하도록 요청하여 문서/아카이브를 해독할 수 있습니다. 사용자가 결코 비밀번호를 제공하지 않으면, 악성 객체는 엔드포인트에 도달하지 않습니다. 사용자가 비밀번호를 제공하면, 악성 객체는 격리 Core™ 계층에서 열리고 분석됩니다. 그런 다음 엔드포인트 침해를 방지하기 위해 적절한 정책이 적용됩니다.

결론

브라우저 익스플로잇이 다시 대세로 돌아왔습니다. 우리는 공격자들이 기존의 방어를 우회하기 위해 고도로 회피적인 적응형 위협(HEAT) 기술을 활용하는 경우가 늘어나고 있다는 것을 목격하고 있습니다. Menlo 플랫폼은 다른 보안 패러다임을 제공합니다 — 대부분의 공격을 막는 왼쪽으로의 보안 태도입니다. 우리의 솔루션은 공격을 예방하는 데 초점을 맞추어 구축되었습니다 — 이는 랜섬웨어 및 기타 악성 코드 공격이 이미 발생한 후에 대처하는 것보다 훨씬 비용이 적게 드는 접근법입니다.