스파이 그룹 MuddyWater가 중동, 아시아, 유럽 9개국의 정부, 군사, 통신 시스템을 손상시키는 캠페인에서 탐지되었습니다. 사용된 기술은 DLL 사이드 로딩으로, 합법적인 Windows 파일이 악성 라이브러리를 로드하여 정보를 탈취하고 지속적인 접근을 유지합니다. 승인되지 않은 프로세스 시작을 모니터링하는 것이 권장됩니다.
공격에서 DLL 사이드 로딩이 작동하는 방식 🕵️
MuddyWater는 DLL을 안전하지 않게 로드하는 서명된 Windows 바이너리를 악용합니다. 예상된 이름의 악성 DLL을 실행 디렉터리에 배치하면 합법적인 프로세스가 의심 없이 이를 로드합니다. 일단 침투하면 ScreenConnect나 맞춤형 백도어와 같은 도구를 배포하여 데이터를 유출합니다. 지속성은 예약된 작업이나 레지스트리 수정을 통해 유지됩니다. 영향을 받는 부문에는 국방 및 통신이 포함됩니다.
Windows: (의도치 않은) 완벽한 공범 🤦
알고 보니 Microsoft의 자체 도구가 문을 열어주고 있습니다. 공격자는 복잡한 익스플로잇이 필요하지 않습니다. 서명된 실행 파일과 이름이 바뀐 DLL만 있으면 됩니다. 마치 건물 경비원이 신분증이 가짜인데도 올바른 유니폼을 입었다는 이유로 통과시켜 주는 것과 같습니다. 한편 IT 팀은 Windows의 정상적인 프로세스가 아닌 것을 찾기 위해 로그를 검토합니다. 시스템의 아이러니입니다.