[하루한줄] ZINC attacks against security researchers

URL

ZINC attacks against security researchers

Target

Security researchers using Windows machine

Explain

MSTIC(Microsoft Threat Intelligence Center)에서 ZINC라는 이름으로 추적 중인 Actor의 악성 행위를 탐지했다고 발표했습니다.

• Social Engineering

  ZINC는 사회 공학적 해킹을 통해 보안 연구원들에게 접근해 그들에게 악성 파일을 배포했습니다.

  • SNS

    ZINC는 높은 퀄리티의 콘텐츠를 리트윗하는 여러 트위터 계정을 운영하면서 대략 2000명의 팔로워를 모으는 등 보안 커뮤니티에서 입지를 넓혔습니다. SNS를 통해 잠재적 타겟에서 접근 후 보안 관련 이슈나 exploit 기술에 대한 질문을 주고받아 신뢰를 쌓고, email이나 discord를 통해 pgp protected zip형식으로 악성 파일을 공유합니다.

  • Blog

    ZINC는 br0vvnn이라는 이름의 블로그를 운영합니다. 그 블로그의 DOS2RCE: A New Technique To Exploit V8 NULL Pointer Dereference Bug라는 글이 트위터로 공유되었으며 이 블로그 링크를 chrome으로 열어본 시스템은 malware에 감염되었습니다.

• Malware

  사회 공학적 해킹을 통해 타겟 시스템에 설치된 backdoor는 다음과 같습니다.

  • Malicious VS project

    Prebuilt-binary가 포함된 악성 Visual Studio 프로젝트입니다. 그중 하나는 Browse.vc.db를 가장한 악성 Comebacker DLL로, 타겟 시스템에서 dropper 역할을 합니다. 이 악성 프로젝트가 빌드될 때 Pre-build event로 등록된 PowerShell command가 rundll32를 통해 Combacker DLL을 실행합니다.

  • Klackring malware

    악성 서비스를 타겟 시스템에 심는 DLL입니다. dropper를 통해 C:\Windows\system32에 .sys확장자로 설치됩니다.

  • MHTML

  • Viraglt64.sys

    CVE-2017-16238 취약점이 존재하는 구버전 드라이버입니다. dropper에 의해 C:\Windows\System32\drivers\circlassio.sys라는 이름으로 타겟 시스템에 설치됩니다. ZINC는 CVE-2017-16238를 사용한 1-day 공격을 통해 타겟 시스템 kernel에 write 권한을 얻을 수 있습니다.

• C2 communication

  backdoor는 command-and-control(C2) 채널에 60초마다 한번씩 check in 합니다. ZINC는 이 채널을 사용해 타겟 시스템에 원격 코드 실행, 타겟의 ip주소 확보, NetBIOS 확보 등의 행위를 할 수 있습니다.