APT 해킹 그룹

최근, 새로운 위협행위자가 마이크로소프트 IIS(인터넷 정보 서비스) 서버를 악용하여 네트워크에 침투, 표적에 대한 사이버 침입 공격의 일환으로 美 주요 공공 및 민간 기관을 표적으로 삼은 것으로 알려졌다.

이 공격 활동을 식별한 이스라엘 사이버 보안업체 Sygnia(社)는 해당 조직을 “Praying Mantis” 또는 “TG2021″이라는 이름으로 명명하며 추적하고 있다. Sygnia(社)에 따르면 이 조직은 IIS 서버를 위해 맞춤 제작된 공통 코어를 중심으로 구축된 맞춤형 악성코드 프레임 워크를 사용하는 것으로 알려졌다. 이 프레임워크는 휘발성으로, 영향을 받는 시스템의 메모리에 로딩되어 감염된 대상에 전혀 흔적을 남기지 않는다고 한다. 뿐만 아니라 TG2021은 은밀한 백도어와 여러 악성 공격 모듈을 사용하여 네트워크 정찰을 수행하고 권한을 확보하여 대상 네트워크 내에서 측면으로 이동한다.

APT 해킹 그룹

또한 공격자는 기업 EDR 시스템을 성공적으로 회피함으로써 공격 은닉에 상당한 노력을 하는 것 외에도 ASP.NET 웹 애플리케이션 대상 공격 무기고를 활용하는 것으로 알려졌다. 서버에서 수신한 HTTP 요청을 하이재킹할 뿐만 아니라 사용자 지정 dll을 로딩하도록 설계된 “NodellSWeb”라는 정교한 페이로드를 실행한다.

APT 해킹 그룹

한 편 공격자가 사용하는 취약점은 아래와 같다.

  • CVE-2021-27852
  • VIEWSTATE 역직렬화 취약점
  • Telerik-UI 익스플로잇 (CVE-2019-18935, CVE-2017-11317)

[출처 : TheHackerNews / 8.2.]