보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

공인 인증 솔루션 ‘MagicLine4NX’ 취약점... 북한 라자루스의 악용 흔적 발견

입력 : 2023-03-25 22:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
라자루스 해커그룹, 취약점 악용 및 특정 실행파일 통해 악성 프로그램 내려받아 실행
한 번 설치 시 프로세스에 항상 상주...최신 버전 업데이트 필요


[보안뉴스 김영명 기자] 국내 보안기업인 드림시큐리티 사에서 제작한 Non-ActiveX 공동인증서 프로그램인 MagicLine4NX에서 원격코드 실행 취약점(RCE)이 발견됐다. 사용자는 MagicLine4NX 프로그램을 이용해 공동인증서 로그인과 거래내역에 대한 전자서명을 할 수 있다.

▲ASD에서 확인된 취약점 로그[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 해당 프로그램은 설치 시 시작 프로그램에 등록돼 있으며, 프로세스가 종료되더라도 MagicLine4NXServices.exe 실행 파일의 특정 서비스에 의해 재실행된다고 소개했다. 이 프로그램은 한번 설치되면 프로세스에 항상 상주해 있으며, 취약한 버전의 MagicLine4NX에서 원격코드 실행 취약점(RCE)이 발생할 수 있다. 따라서 MagicLine4NX 1.0.0.1~1.0.0.26 이상의 최신 버전으로 업데이트가 필요하다.

라자루스 해커그룹은 MagicLine4NX 취약점을 통해 svchost.exe 프로세스에 인젝션한 후, 악성 프로그램을 다운로드해 실행했다. 따라서 취약한 버전의 MagicLineNX가 설치돼 있는 경우에는 즉시 삭제 조치할 필요가 있다.

▲MagicLine4NX 버전 확인[자료=안랩 ASEC 분석팀]


해당 프로그램은 ‘내 컴퓨터’ -> ‘로컬 디스크(C:\)’ -> ‘Program Files(x86)’ -> ‘DreamSecurity’ -> ‘MagicLine4NX’ 경로로 이동, MagicLine4NX에 마우스 오른쪽 버튼을 클릭하고, ‘속성-자세히 탭’을 클릭해서 파일 버전을 확인할 수 있다.

또한, 해당 프로그램을 삭제하는 방법은 윈도 제어판 ‘프로그램 및 기능’에서 MagicLineNX을 선택해 제거하는 것이다. 또는 C 드라이브 내 Program Files(x86)에서 DreamSecurity 폴더 내 MagicLine4NX 경로로 이동해 ‘MagicLine4NX_Uninstall.exe’ 프로그램을 실행하면 된다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)