자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 - ASEC BLOG 관련 IOC 5개 발견

IOC:
e7c9bf8bf075487a2d91e0561b86d6f5
https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
http://mlsoft.com/bbs/board.php?bo_table=54_1
8.0.23.215
https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881

요약:
TCO!Stream에는 ELsoft에서 제작한 자산 관리 솔루션이 포함되어 있습니다. 이 프로그램은 관리자가 서버에 연결하여 자산 관리 작업을 수행하도록 서버 및 클라이언트 기반으로 작동합니다. 이 프로그램에는 원격 코드 실행 공격으로 인해 원격으로 코드를 실행할 수 있으므로 최신 버전으로 업데이트해야 합니다. 최신 버전은 8.0.23.215입니다.

내용:
취약 소프트웨어 및 개요
TCO!Stream은 국내 엠엘소프트사에서 제조한 자산 관리 솔루션이다. 서버와 클라이언트로 구성되며, 관리자는 콘솔 프로그램을 이용하여 서버에 접속해 자산 관리 업무를 수행할 수 있다. TCO!Stream은 자산 관리를 위해 다양한 기능을 제공하는데, 서버로부터 명령을 받기 위하여 클라이언트에 항상 상주하는 프로세스가 존재하며, 해당 프로세스를 통하여 명령을 수행한다. 이 프로그램을 악용하여 원격으로 코드를 실행할 수 있는 취약점 공격에 노출되어 있어 최신버전으로 업데이트가 필요하다.
취약점 설명
해당 취약점은 안랩에서 최초 발견 및 신고한 취약점으로, 취약한 버전의 TCO!Stream에서 원격 코드 실행 취약점(RCE)이 발생할 수 있다.
패치 대상 및 버전
TCO!Stream 8.0.22.1115 이하 버전
취약점 악용 로그(Lazarus)
고객사의 침해사고 분석 과정에서 TCO!Stream 솔루션이 공격자에 의해 악용되는 정황이 발견되었으며, 이를 이용하여 여러 PC에 원격으로 코드를 실행하고 백도어를 설치하였다. [그림 1] Lazarus 그룹이 악용한 이력
해결 방안
사용자는 다음의 안내에 따라 프로그램의 버전을 확인하고 최신 버전(8.0.23.215 버전 이상)으로 업데이트를 진행하도록 한다. – 서비스 운영자 : 엠엘소프트를 통해 최신 버전으로 교체 – 서비스 이용자 : 운영자가 최신 버전으로 교체 시 자동 업데이트됨
[진단]
Trojan/Win.Agent.C5356408 (2023.01.12.03)
[IOC ]
MD5 – e7c9bf8bf075487a2d91e0561b86d6f5
[Reference] https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
http://mlsoft.com/bbs/board.php?bo_table=54_1
https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763 연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다. Categories: 조치 가이드
Tagged as: ASEC , 보안 , 취약점 , Lazarus , TCO!Stream.....

Open New Windows

자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 - ASEC BLOG:
https://asec.ahnlab.com/ko/49560/