카스퍼스키 보안 연구원이 전 세계 여러 회사를 타깃으로 하는 공격에서 구글 크롬 및 윈도우 10 제로데이 익스플로잇 체인을 사용한 위협 행위자 퍼즐메이커(PuzzleMaker)를 발견했다고 밝혔다.
PuzzleMaker가 수행한 공격은 4월 중순에 첫번째 피해자의 네트워크가 해킹 당하면서 처음 공개되었다.
브리핑컴퓨터 보도에 따르면, 공격 캠페인에 사용된 익스플로잇 체인은 크롬 V8 자바스크립트 엔진 원격 코드 실행 취약점을 사용해 타깃 시스템에 액세스했다. 그 후 PuzzleMaker는 윈도우 커널 취약점 CVE-2021-31955와 NTFS 권한 상승 취약점 CVE-2021-31956을 악용하여 최신 윈도우10 버전을 타깃으로 하는 맞춤 권한 상승 익스플로잇을 사용했다.
공격자는 CVE-2021-31956 취약점과 WNF(Windows Notification Facility)를 함께 사용해 취약한 윈도우10 시스템에서 시스템 권한으로 멀웨어 모듈을 실행했다.
연구원들은 “공격자들이 크롬과 윈도우 익스플로잇을 모두 사용해 타깃 시스템에 발판을 마련하면, stager 모듈이 원격 서버에서 더 복잡한 멀웨어 드롭퍼를 다운로드해 실행한다. 이 드롭퍼는 이후 마이크로소프트 윈도우 운영체제에 속한 적합한 파일로 위장한 두개 실행 파일을 설치한다”며 “이 두 실행 파일 중 두번째는 원격 셸 모듈로, 파일 다운로드 및 업로드, 프로세스 생성, 특정 기간 잠자기, 감염 시스템에서 스스로 삭제 등이 가능하다”고 설명했다.
이것이 최근 몇 달 간 실제 공격에 사용된 최초의 크롬 제로데이 익스플로잇 체인은 아니다. 3월에 구글 프로젝트 제로팀은 한 해커 그룹이 11개 제로데이를 사용해 1년 간 윈도우, iOS 및 안드로이드 사용자를 공격한 대규모 작전을 공개한 바 있다.
이 공격은 2020년 2월과 10월 두개의 개별 캠페인에서 발생했고, 두개 익스플로잇 서버를 호스팅하는 최소 12개 웹 사이트를 사용했다. 각 웹 사이트는 iOS, 윈도우 또는 안드로이드 사용자들을 타깃으로 했다.
PuzzleMaker의 악성코드 샘플 해시를 포함한 침해 지표(IOC)는 카스퍼스키 보고서(클릭) 끝에 포함되어 있다.
★정보보안 대표 미디어 데일리시큐!★