MysterySnail 공격 탐지

카스퍼스키의 보안 전문가들은 IT 기업, 군사 계약자 및 외교 기관을 공격하기 위해 Windows의 제로데이 취약점(CVE-2021-40449)을 활용하는 정교한 사이버 스파이 캠페인을 발견했습니다. 이 캠페인은 IronHusky로 추적된 중국 지원 APT 그룹에 의해 수행된 것으로 확인되었습니다. 해커 집단은 최근 발견된 CVE-2021-40449를 악용하여 이전에 알려지지 않은 원격 액세스 트로이 목마인 MysterySnail로 시스템을 감염시켰습니다.

CVE-2021-40449

새로운 Windows 제로데이 (CVE-2021-40449)는 Win32k 드라이버의 NtGdiResetDC 기능에 존재하는 권한 상승 결함입니다. 카스퍼스키의 조사에 따르면 보안 결함은 사용자 모드 콜백 설정의 잘못된 구성 때문에 발생하며, 이는 공격자가 손상된 Proactive Data Container(PDC) 객체를 활용하여 임의의 커널 기능을 호출하고 커널 메모리를 읽고 쓸 수 있게 합니다.

CVE-2021-40449 결함은 구형 Windows 7과 Windows Server 2008부터 최신 Windows 11과 Windows Server 2008까지 대부분의 Windows 클라이언트 및 서버 버전에 영향을 미칩니다. 이 결함은 클라이언트 및 서버 설치 모두에 존재하지만, 야생에서는 Windows Server 시스템만이 타겟으로 삼았었습니다.

공개 후, 이 취약점은 즉시 Microsoft에 보고되었고, 해당 벤더의 10월 Patch Tuesday 릴리스. 

MysterySnail RAT

CVE-2021-40449 권한 상승 익스플로잇은 카스퍼스키 연구자들에 의해 MysterySnail로 추적된 맞춤형 원격 액세스 트로이 목마를 제공하기 위해 야생에서 활발히 활용되었습니다. 새로운 RAT는 피해를 입은 호스트로부터 시스템 데이터를 덤프하고 공격자의 명령 및 제어(C&C) 서버로부터 전달된 기본적인 악성 명령 세트를 실행할 수 있는 원격 셸 유형의 악성코드입니다. 특히 이 트로이 목마는 파일을 읽거나 삭제하며, 임의의 프로세스를 종료하고, 새로운 파일을 생성하거나 업로드하며, 새로운 프로세스를 생성하고, 대화형 셸을 시작하며, 프록시 서버로 작동할 수 있습니다.

전문가에 따르면, MysterySnail의 기능은 원격 셸로서는 흔한 것이며 실제로 고급은 아닙니다. 그러나 이 새로운 트로이 목마는 다양한 명령 목록과 프록시 역할 수행 등 추가 기능 덕분에 다른 ‘형제들’과 비교하여 두드러집니다.

IronHusky APT로의 흔적

카스퍼스키의 연구는 새로운 MysterySnail을 중국 연계 IronHusky APT와 연결합니다. 최신 사이버 스파이 캠페인을 분석하는 동안 보안 전문가들은 악성 운영이 2012년에 IronHusky가 활용한 것과 동일한 C&C 인프라를 사용한다고 확인했습니다. 추가로, MistySnail의 해체는 그룹에 속한 다른 악성 샘플들과 코드 중복을 보여주었습니다.

IronHusky 활동의 첫 흔적은 2017년에 러시아 및 몽골 정부와 군사 자산을 목표로 하는 악성 캠페인의 조사 중 발견되었습니다. 2018년, 카스퍼스키 연구원들은 Microsoft Office 메모리 손상 취약점(CVE-2017-11882)을 악용하여 PlugX와 PoisonIvy를 전달하는 IronHusky의 적대자들을 감지했습니다. 이러한 RAT는 중국어를 사용하는 해킹 집단이 자주 사용합니다. in 2017 during the investigation of the malicious campaign aimed at Russian and Mongolian govt and military assets. In 2018 Kaspersky researchers detected IronHusky adversaries exploiting Microsoft Office memory corruption flaw (CVE-2017-11882) to deliver PlugX and PoisonIvy, the RATs frequently used by Chinese-speaking hacking collectives. 

MysterySnail RAT 검출

MysterySnail RAT 악성코드에 의한 잠재적 손상을 예방하기 위해, 저희 예리한 Threat Bounty 개발자들이 발표한 특정 Sigma 규칙 세트를 다운로드할 수 있습니다.

Windows 제로데이 CVE-2021-40449를 통한 MysterySnail RAT 공격 (프록시 경유)

Sittikorn Sangrattanapitak이 작성한 이 규칙은 CVE-2021-40449 Windows 제로데이를 통한 MysterySnail 감염을 탐지하는 데 도움이 됩니다. 이 탐지는 다음 SIEM 보안 분석 플랫폼에 대한 번역을 포함합니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys. helps to detect possible MysterySnail infections via CVE-2021-40449 Windows zero-day. The detection has translations for the following SIEM SECURITY ANALYTICS platforms: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.

이 규칙은 명령 및 제어 전술을 다루는 MITRE ATT&CK 방법론에 매핑되어 있습니다. 특히, 데이터 인코딩(t1132) 기법 및 웹 프로토콜 하위 기법(t1071.001)과 함께 적용되어 있습니다.

Windows 제로데이를 이용한 MysterySnail 공격

Sittikorn Sangrattanapitak이 작성한 이 규칙은 Osman Demir 은 또한 최근 검출된 Windows 제로데이를 통해 수행된 MysterySnail 감염을 탐지합니다. 이 탐지는 다음 SIEM 보안 분석 플랫폼에 대한 번역을 포함합니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Sentinel One, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

이 규칙은 실행 전술을 다루는 MITRE ATT&CK 방법론에 매핑되어 있습니다. 특히, 명령 및 스크립트 인터프리터(t1059) 기법의 Windows 명령 셸 하위 기법(t1059.003)과 서명된 바이너리 프록시 실행(t1218) 기법의 Rundll32 하위 기법(t1218.011)을 다룹니다.

SOC Prime의 코드로서의 탐지 플랫폼에 등록하여 300명 이상의 연구원이 지속적으로 업데이트하고 20개 이상의 SIEM 및 XDR 플랫폼에 제공되는 가장 최신의 Sigma 기반 위협 탐지 콘텐츠에 액세스 하십시오. 개별 사이버 수비수들을 위한 저희 크라우드소싱 이니셔티브에 참여하고 고유한 Sigma 규칙을 개발하고 싶으신가요? 저희 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 Threat Bounty 참여