다중 라이센스 할인 견적
위협 데이터베이스 지능형 지속 위협(APT) TCESB 맬웨어

TCESB 맬웨어

지능형 지속 위협(APT), 멀웨어년에 Mezo 년까지
번역 :
한국어

아시아 전역에서 사이버 공격을 감행하는 것으로 알려진 중국계 위협 세력이 ESET 보안 소프트웨어의 취약점을 악용하여 이전에는 문서화되지 않았던 TCESB라는 코드명의 악성코드를 유포하는 것으로 확인되었습니다. 새롭게 발견된 이 악성코드는 보안 조치를 우회하고 탐지되지 않은 페이로드를 실행하도록 설계되었습니다.

ToddyCat: 아시아에서 끊임없이 위협적인 존재

고급 위협 그룹인 ToddyCat은 최소 2020년 12월부터 활동해 왔으며, 아시아 여러 기관을 표적으로 삼고 있습니다. 최근 조사 결과, ToddyCat은 다양한 도구를 사용하여 손상된 시스템에 지속적으로 접근하고 아시아 태평양 지역 기관으로부터 방대한 양의 데이터를 수집하는 것으로 드러났습니다.

결함 악용: DLL 하이재킹 기술

2024년 초 ToddyCat 관련 사건을 조사하던 보안 연구원들은 감염된 여러 기기의 임시 디렉터리에서 'version.dll'이라는 의심스러운 DLL 파일을 발견했습니다. TCESB로 확인된 이 파일은 DLL 검색 순서 하이재킹(DLL Search Order Hijacking)을 통해 배포되었는데, 이 기법은 공격자가 정상적인 DLL 파일을 대체하여 프로그램 실행을 제어할 수 있도록 합니다.

이 공격은 ESET 명령줄 스캐너의 취약점을 악용하는데, 이 취약점은 'version.dll' 파일을 안전하지 않게 로드합니다. 시스템 디렉터리에서 정상 버전을 로드하는 대신, 먼저 현재 디렉터리를 확인하여 공격자에게 악성 DLL을 삽입할 기회를 제공합니다.

CVE-2024-11859: 악용된 취약점

CVE-2024-11859(CVSS 점수: 6.8)로 추적된 이 취약점은 관리자 권한을 가진 공격자가 안전하지 않은 코드를 실행할 수 있도록 허용했습니다. 그러나 이 취약점 자체는 관리자 권한을 부여하지 않았습니다. 공격자는 이미 관리자 권한이 있어야 이 취약점을 악용할 수 있었습니다. ESET은 2025년 1월에 이 취약점을 패치하고 Windows용 소비자, 기업 및 서버 보안 제품에 대한 업데이트를 배포했습니다.

EDRSandBlast 무기화: TCESB가 보안 보호 기능을 비활성화하는 방법

TCESB는 오픈 소스 도구인 EDRSandBlast의 수정된 버전입니다. 커널 구조를 조작하여 프로세스 생성이나 레지스트리 변경과 같은 중요한 이벤트를 시스템 드라이버에 알리는 핵심 기능인 알림 루틴(콜백)과 같은 보안 메커니즘을 비활성화합니다.

이를 위해 TCESB는 잘 알려진 BYOVD(Bring Your Own Vulnerable Driver) 기법을 사용하여 장치 관리자 인터페이스를 통해 취약한 Dell 드라이버(DBUtilDrv2.sys)를 설치합니다. 이 드라이버는 권한 상승 취약점인 CVE-2021-36276의 영향을 받습니다.

Dell 드라이버: 반복되는 약점

Dell 드라이버가 사이버 공격에 악용된 것은 이번이 처음이 아닙니다. 2022년에는 북한과 연계된 라자루스 그룹이 또 다른 Dell 드라이버 취약점(CVE-2021-21551)을 악용하여 보안 메커니즘을 무력화했습니다. 공격자들은 오래되었거나 취약한 드라이버를 계속해서 악용하여 보안 조치를 우회하고 있습니다.

TCESB의 실행 전략

취약한 드라이버가 설치되면 TCESB는 현재 디렉터리에서 특정 이름의 페이로드 파일을 2초마다 지속적으로 확인합니다. 페이로드가 처음에 없으면 TCESB는 페이로드가 나타날 때까지 기다립니다. 그런 다음 AES-128로 암호화된 페이로드를 디코딩하여 실행합니다.

탐지 및 예방 조치

  • 이러한 위협에 대응하려면 보안팀은 다음을 수행해야 합니다.
  • 특히 취약한 드라이버와 관련된 드라이버 설치 이벤트를 모니터링합니다.
  • 특히 커널 디버깅이 예상되지 않는 시스템에서는 의심스러운 커널 디버깅 활동에 주의하세요.
  • 알려진 취약점에 대한 패치를 포함하여 모든 보안 소프트웨어가 최신 상태로 업데이트되었는지 확인하세요.
  • 공격자가 이러한 취약점을 악용하지 못하도록 관리자 권한을 제한하세요.

사이버 위협 행위자가 계속해서 진화함에 따라, ToddyCat이 수행한 것과 같은 정교한 공격을 방어하기 위해서는 경계를 늦추지 않고 사전 예방적 보안 조치를 실행하는 것이 중요합니다.

트렌드

MethodApplication

맥 맬웨어, 애드웨어, 잠재적으로 원하지 않는 프로그램
Mac 사용자는 종종 자신의 기기가 원치 않는 프로그램에 면역이 있다고 생각하지만, 잠재적으로 원치 않는 프로그램(PUP)은 가장 안전한 시스템에도 침투할 방법을 계속 찾고 있습니다. 이러한 침입적 애플리케이션은 공격적인 광고로 사용자를 폭격하고, 브라우징 습관을 추적하며, 시스템을 추가 보안 위험에 노출시킬 수 있습니다. 그러한 위협 중 하나는 악명...

DisplayProgress

맥 맬웨어, 애드웨어, 잠재적으로 원하지 않는 프로그램
디지털 환경은 의심하지 않는 사용자를 표적으로 삼는 위협으로 가득 차 있으며, 잠재적으로 원치 않는 프로그램(PUP)은 가장 사기성이 강한 프로그램 중 하나입니다. 이러한 애플리케이션은 종종 오도하는 전략을 통해 시스템에 침투하여 침입성 광고를 제공하고, 사용자 데이터를 추적하고, 심지어 장치를 추가 보안 위험에 노출시킵니다. 사이버 보안 연구자들이...

VoxFlowG USDT 에어드랍 이메일 사기

피싱, 스팸
암호화폐의 부상과 함께 사기꾼들은 사용자들을 속여 디지털 자산을 내주게 하는 점점 더 기만적인 전략을 개발했습니다. 그러한 사기 계획 중 하나는 VoxFlowG USDT Airdrop 이메일 사기로, 무료 Tether(USDT)를 약속하여 의심하지 않는 개인을 노립니다. 이 전략은 피해자의 암호화폐 지갑에서 자금을 모으도록 설계되었습니다. 이 계획이 어떻게 작동하는지 이해하면 사용자가 유사한 위협을 인식하고 파괴적인 재정적 손실을 피하는 데 도움이 될 수 있습니다. 유혹: 가짜 USDT 에어드랍 약속 이 캠페인을 주도하는 사기꾼들은 다음과 같은 유혹적인 제목을 단 대량 피싱 이메일을 보냅니다. '무료 USDT 에어드랍을 받으세요 – 이용 가능한 슬롯이 제한적입니다!' 이러한 이메일은...

가장 많이 본

Discord가 회색 화면에 멈춤

문제
69,931
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
62,894
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
55,575
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...