IOC:
https://www.yettiesoft.com/html/support/0502_faq.html
https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
0a840090b5eac30db985f0c46f46a602
요약:
정보가 없습니다.
내용:
취약 소프트웨어 및 개요
VestCert 는 웹 사이트 이용 시 사용되는 공인인증서 프로그램으로 , 국내 예티소프트사에서 제조한 Non-ActiveX 모듈이다 . 이 프로그램은 시작 프로그램에 등록돼 있으며 , 프로세스가 종료되더라도 예티소프트의 서비스 (Gozi) 에 의해 재실행되는 특징이 있어 , 한 번 설치되면 프로세스에 항상 상주해 있으므로 취약점 공격에 노출될 수 있다 . 따라서 최신 버전으로 업데이트가 필요하다 .
취약점 설명
해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 VestCert 에는 원격 코드 실행 취약 점(RCE) 이 발생할 수 있다 .
패치 대상 및 버전
VestCert 2.3.6 ~ 2.5.29 버 전
취약점 악용 로그(Lazarus)
자사 ASD(AhnLab Smart Defense) 인프라를 통해 취약점을 악용한 사실이 확인되었다 . 공격자는 해당 취약점으로 악성코드를 다운로드 후 실행하였다 . [그림 1] ASD에서 확인된 취약점 로그
해당 악성코드(winsync.dll) 는 과거 게시글에 언급된 SCSKAppLink.dll 파일의 외형 및 기능이 매우 유사하였다 . 라자루스 그룹 DLL Side-Loading 기법 이용 (mi.dll) – ASEC BLOG ASEC 분석팀은 라자루스 공격 그룹을 추적하던 중 공격자가 초기 침투 단계에서 다음 공격 단계 달성을 위해 정상 응용 프로그램을 이용한 DLL Side-Loading 공격 기법(T1574.002)을 사용하는 정황을 포착했다. DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행 될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 즉, 악성 DLL의 이름을 정상 프로그램이 참조하는 다른 경로에 위치한 정상 DLL 파일명과 동일하게 변경하여 악성 DLL이…
또한 두 파일 모두 Notepad++ 플러그인 오픈소스를 악용하여 작성되었으며 , 문자열을 복호화 하는 코드 루틴도 동일함을 확인하였다 . [그림 2] SCSKAppLink.dll과 동일한 파일 정보 [그림 3] 과거와 동일한 코드 패턴
해결 방안
사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전으로 업데이트를 진행하도록 한다.
– 서비스 운영자 : 예티소프트를 통해 최신 버전으로 교체
– 서비스 이용자 : 취약한 VestCert가 설치되어 있는 경우 제거 후 최신 버전 업데이트 [그림 4] VestCert 종료 및 제거
[1] 프로세스 종료
– 작업관리자의 프로세스 탭에서 ① Goji → ② VestCert를 반드시 순서대로 종료
[2] 설치된 프로그램 제거
– [제어판]-[프로그램]-[프로그램 및 기능]에서 VestCert 버전 확인 후 제거 클릭
[3] 프로그램 재설치
– 이용 중인 금융사이트*에 접속하여 해결된 버전의 프로그램 재설치
* 금융사이트별 취약한 프로그램 패치 일정은 상이하므로 확인 필요 [그림 5] VestCert 최신 버전(2.5.30 ~)
진단
Trojan/Win.LazarLoader.C5378117 (2023.02.08.03)
Execution/MDP.Powershell.M1185
IOC
MD5
– 0a840090b5eac30db985f0c46f46a602
[References] https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
https://www.yettiesoft.com/html/support/0502_faq.html 연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP.....
공인 인증 솔루션(VestCert) 취약점 주의 및 업데이트 권고 - ASEC BLOG:
https://asec.ahnlab.com/ko/49561/
'Security > News' 카테고리의 다른 글
| MDS의 팝업 창을 이용한 안티 샌드박스(anti-sandbox) 회피 기능 - ASEC BLOG 관련 IOC 2개 발견 (0) | 2023.03.18 |
|---|---|
| ASEC 주간 피싱 이메일 위협 트렌드 (20230305 ~ 20230311) - 20개 발견 (0) | 2023.03.18 |
| 자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 - ASEC BLOG 관련 IOC 5개 발견 (0) | 2023.03.18 |
| '야마봇' 마스터링 바이러스 사용 - 관련 IOC 8개 발견 (0) | 2023.03.17 |
| 오와사스 전자 거래소 익스플로잇을 관찰하고 있으며... 아직도 관련 IOC 21개 발견 (0) | 2023.03.17 |
댓글0