ºÏÇÑ ÇØÅ·Á¶Á÷ ¶óÀڷ罺, ±¹³» ±ÝÀ¶º¸¾È ¼Ö·ç¼Ç Ãë¾àÁ¡ ¾Ç¿ëÇÑ °ø°Ý Áö¼Ó

ÀÔ·Â : 2023-06-13 10:06
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ºÏÇÑ ¶óÀڷ罺, VestCert¿Í TCO!StreamÀÇ Ãë¾àÁ¡ ¾Ç¿ëÇØ °ø°Ý
VestCert´Â 2.5.30 ¹öÀü ÀÌ»ó, TCO!StreamÀº 8.0.23.215 ¹öÀü ÀÌ»óÀ¸·Î ¾÷µ¥ÀÌÆ® ÇÊ¿ä


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ºÏÇÑÀÇ ¶óÀڷ罺(Lazarus) ÇØÅ·±×·ìÀº INISAFE CrossWeb EX¿Í MagicLine4NXÀÇ Ãë¾àÁ¡À» °ø°Ý¿¡ Áö¼ÓÀûÀ¸·Î È°¿ëÇØ¿À°í ÀÖ´Ù. ÃÖ±Ù ¶óÀڷ罺´Â ±âÁ¸¿¡ °ø°Ý¿¡ ¾Ç¿ëÇÏ´ø INISAFE CrossWeb EX¿Í MagicLine4NX ¿Ü¿¡µµ VestCert¿Í TCO!StreamÀÇ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëµÇ´Â Á¤È²ÀÌ »õ·Ó°Ô È®ÀεƴÙ.

[À̹ÌÁö=gettyimagesbank]


¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é, ¶óÀڷ罺´Â ±¹³»¿¡¼­ »ç¿ëµÇ´Â ¼ÒÇÁÆ®¿þ¾îÀÇ »õ·Î¿î Ãë¾àÁ¡À» ã¾Æ °ø°Ý¿¡ ¾Ç¿ëÇÏ°í ÀÖ´Ù. À̹ø¿¡ ¹ß°ßµÈ VestCert´Â Non-ActiveX ¹æ½ÄÀÇ À¥ º¸¾È ¼ÒÇÁÆ®¿þ¾îÀ̸ç, TCO!StreamÀº ±â¾÷ ÀÚ»ê°ü¸® ÇÁ·Î±×·¥À¸·Î µÎ ¼Ö·ç¼Ç ¸ðµÎ ±¹³» ´Ù¼ö ±â¾÷¿¡¼­ »ç¿ë ÁßÀÌ´Ù.

VestCertÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå ´Ù¿î·Îµå °úÁ¤À» »ìÆ캸¸é, °ø°ÝÀÚ´Â ±â¾÷ ³»ºÎ·Î ÃÖÃÊ Ä§ÅõÇϱâ À§ÇØ ¿öÅ͸µÈ¦ °ø°Ý ¹æ½ÄÀ» »ç¿ëÇÑ´Ù. »ç¿ëÀÚ°¡ Ãë¾àÇÑ ¹öÀüÀÇ VestCert°¡ ¼³Ä¡µÈ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ ½Ã½ºÅÛ¿¡¼­ À¥ ºê¶ó¿ìÀú¸¦ ÀÌ¿ëÇØ ¾Ç¼º ½ºÅ©¸³Æ®°¡ »ðÀÔµÈ Æ¯Á¤ À¥»çÀÌÆ®¿¡ ¹æ¹®Çϸé À¥ ºê¶ó¿ìÀú Á¾·ù¿¡ °ü°è¾øÀÌ VestCert ¼ÒÇÁÆ®¿þ¾îÀÇ ¼­µåÆÄƼ ¶óÀ̺귯¸® ½ÇÇà Ãë¾àÁ¡À¸·Î ÀÎÇØ ÆÄ¿ö½©(PowerShell)ÀÌ ½ÇÇàµÈ´Ù. À̾ PowerShellÀº ¸í·ÉÁ¦¾î(C2) ¼­¹ö¿¡ Á¢¼ÓÇØ ¾Ç¼ºÄڵ带 ³»·Á¹Þ°í ½ÇÇàÇÑ´Ù.

¡ãº¹È£È­µÈ ¸í·É µ¥ÀÌÅÍ Áß ÀϺÎ(ºÐ¼®¿ë)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


ÀÌ¿Í ÇÔ²² TCO!StreamÀÇ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå ³»ºÎ ÀüÆĵµ È®Àεǰí ÀÖ´Ù. °ø°ÝÀÚ´Â ÃÖÃÊ ÇÇÇØ ½Ã½ºÅÛ¿¡¼­ ³»ºÎ ½Ã½ºÅÛµé·Î ¾Ç¼ºÄڵ带 ¹èÆ÷Çϱâ À§ÇØ TCO!StreamÀÇ Ãë¾àÁ¡À» »ç¿ëÇÏ°í ÀÖ´Ù. TCO!StreamÀº ¼­¹ö¿Í Ŭ¶óÀ̾ðÆ®·Î ±¸¼ºµÇ¸ç, ¼­¹ö¿¡¼­ Ŭ¶óÀ̾ðÆ®·Î ¼ÒÇÁÆ®¿þ¾î ¹èÆ÷ ¹× ¿ø°ÝÁ¦¾î µîÀÇ ±â´ÉÀ» Á¦°øÇÑ´Ù.

Ŭ¶óÀ̾ðÆ®´Â ¼­¹ö¿Í Åë½ÅÇϱâ À§ÇØ Ç×»ó TCP 3511 Æ÷Æ®¸¦ ¼ö½Å´ë±â(Listening)ÇÏ°í ÀÖ°Ô µÇ´Âµ¥, °ø°ÝÀÚ´Â ÀÚü Á¦ÀÛÇÑ ¾Ç¼ºÄڵ带 ÀÌ¿ëÇØ ¼­¹ö¿¡¼­ ƯÁ¤ ÆÄÀÏÀ» ³»·Á¹Þ°í ½ÇÇàÇϵµ·Ï ÇÏ´Â ¸í·É¾î ÆÐŶÀ» »ý¼ºÇÏ°í À̸¦ Ŭ¶óÀ̾ðÆ®¿¡ Àü´ÞÇÑ´Ù. ÀÌ ¸í·ÉÀ» ¹ÞÀº Ŭ¶óÀ̾ðÆ®´Â TCO!Stream ¼­¹ö¿¡ Á¢±ÙÇØ °ø°ÝÀÚ°¡ ¹Ì¸® ÁغñÇÑ ¾Ç¼ºÆÄÀÏÀ» ³»·Á¹Þ°í ½ÇÇàÇÏ°Ô µÈ´Ù.

°ø°ÝÀÚ Á¦ÀÛÇÑ ¾Ç¼ºÄÚµå´Â ¡®Malware¡¯, ¡®DeviceID¡¯, ¡®Destination IP¡¯, ¡®Destination Port¡¯, ¡®Job ID¡¯ÀÇ Ä¿¸Çµå ¶óÀÎ ±¸Á¶·Î ½ÇÇàµÈ´Ù. ÇØ´ç Ä¿¸Çµå ¶óÀÎÀÇ °¢ ÆĶó¹ÌÅÍÀÇ Àǹ̸¦ »ìÆ캸¸é ¡â¡®Malware¡¯´Â ¾Ç¼º ÆÄÀϸí(MicrosoftVSA.bin, MicroForic.tlb, matrox86.bic, matrox86.tcm, matrox86.tcm, wincert.bin, mseng.bin) ¡â¡®TCO DeviceID¡¯´Â TCO ¼­¹öÀÇ Device ID ¡â¡®Destination IP¡¯´Â ´ë»ó Ŭ¶óÀ̾ðÆ® ½Ã½ºÅÛÀÇ IP ¡â¡®Destination Port¡¯´Â ´ë»ó Ŭ¶óÀ̾ðÆ® ½Ã½ºÅÛÀÇ Æ÷Æ®(3511) ¡â¡®Job ID¡¯´Â ¼­¹ö¿¡¼­ »ç¿ëµÇ´Â Job ID µîÀ» ³ªÅ¸³½´Ù.

ÇØ´ç ¾Ç¼ºÄÚµå´Â C:\Packages\<¹èÆ÷ ¸ðµâ À̸§>\<¹öÀü>\<ÃÖÁ¾ °æ·Î>\<¹èÆ÷ ÆÄÀϸí>ÀÇ Àå¼Ò¿¡ ÇØ´ç À̸§À¸·Î ¹èÆ÷µÈ´Ù. ¶ÇÇÑ, ½ÇÇà ¸í·ÉÀº ¡®loadconf.exe –rt5y65i8##7poi88++5t4t54t54t5n¡¯¿Í °°À¸¸ç, ÀÌ´Â ¹éµµ¾î ´Ù¿î·Î´õÀÎ (loadconf.exe)¸¦ C:\Temp\ °æ·Î¿¡ ´Ù¿î·ÎµåÇÏ°í ÀÎÀÚ¿Í ÇÔ²² ½ÇÇà½ÃÅ°´Â ¸í·ÉÀÌ´Ù.

¾È·¦ ASEC ºÐ¼®ÆÀ ÃøÀº ¡°À̹ø¿¡ ¾Ç¿ëµÈ VestCert¿Í TCO!StreamÀÇ Ãë¾àÁ¡À» ºÐ¼®ÇØ KISA¿¡ ½Å°íÇÏ°í, ÇØ´ç ¾÷ü¿¡µµ Á¤º¸¸¦ Àü´ÞÇØ ÇöÀç ÇØ´ç Ãë¾àÁ¡Àº ÆÐÄ¡°¡ ¿Ï·áµÈ »óÅ¡±¶ó¸é¼­µµ ¡°ÇØ´ç ¼ÒÇÁÆ®¿þ¾îµéÀº ÀÚµ¿ ¾÷µ¥ÀÌÆ®µÇÁö ¾Ê´Â ¼ÒÇÁÆ®¿þ¾î·Î ¿©ÀüÈ÷ Ãë¾àÇÑ ¹öÀüÀ» »ç¿ëÇÏ´Â °÷ÀÌ ¸¹Àº °ÍÀ¸·Î È®ÀεDZ⠶§¹®¿¡ ÇØ´ç ¼ÒÇÁÆ®¿þ¾î°¡ ¼³Ä¡µÈ ½Ã½ºÅÛ¿¡¼­´Â ¼öµ¿À¸·Î ÇÁ·Î±×·¥À» Á¦°ÅÇÑ ÈÄ À缳ġÇÒ °ÍÀ» ±Ç°íÇÑ´Ù¡±°í ´çºÎÇß´Ù.

ÇÑÆí, À̹ø¿¡ ¹®Á¦°¡ µÈ VestCertÀÇ Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹Þ´Â ¹öÀüÀº 2.3.6~2.5.29À̸ç, ÇØ°á ¹öÀüÀº 2.5.30 ¹öÀüÀÌ´Ù. ¶ÇÇÑ, TCO!StreamÀÇ Ãë¾àÁ¡¿¡ ¿µÇâ ¹Þ´Â ¹öÀüÀº 8.0.22.1115 ÀÌÇÏ, ÇØ°á ¹öÀüÀº 8.0.23.215ÀÌ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)