안티바이러스 소프트웨어에 탐지되지 않고 “악성 프로세스”를 실행할 수 있는 중국 APT 그룹이 사용하는 새로운 도구
중국과 연관되어 있는 APT 그룹은 보안 소프트웨어에 의해 탐지되지 않으면서 악성 프로세스를 실행시킬 수 있는 새로운 멀웨어를 사용하고 있다.
이를 발견한 트렌드마이크로 팀이 UNAPIMON이라고 명명한 이 악성코드는 Windows API(응용 프로그래밍 인터페이스)에서 악의적인 활동을 모니터링하고 API 관련 프로세스의 보안 문제를 검사하고 분석하는 데 사용되는 후크(Hook)를 비활성화합니다. 이렇게 하면 맬웨어에 의해 생성된 모든 프로세스가 위협 탐지 메커니즘에 의해 탐지되거나 검사되는 것을 방지할 수 있습니다. Trend Micro는 “샌드박싱 시스템과 같이 후킹을 통해 API 모니터링을 구현하는 환경의 경우 UNAPIMON은 하위 프로세스가 모니터링되는 것을 방지합니다.”라고 경고의 말을 했습니다.
Trend Micro에서는 UNAPIMON을 Earth Freybug라고 부르는 위협 그룹과 연결했습니다. 이는 Blackfly(일명 APT41, Winnti, Wicked Panda, Barium, Bronze Atlas)의 하위 집합이라고 합니다. Blackfly는 최소 2010년부터 활동해 온 중국 APT 그룹 중 가장 오래 알려진 그룹 중 하나입니다. 이 그룹은 수많은 사이버 간첩 캠페인, 공급망 공격, 재정적 동기를 지닌 공격을 담당해 왔습니다. 과거 대상에는 반도체, 통신, 재료 제조, 제약, 미디어 및 광고, 호텔, 천연자원, 핀테크, 식품 부문의 조직이 포함됩니다.
LayerSlider WordPress plugin의 심각한 취약점을 수정하기 위한 버그 패치
널리 사용되는 WordPress 용 LayerSlider 플러그인의 심각한 취약점을 악용하여 데이터베이스에서 비밀번호 해시와 같은 민감한 정보를 훔칠 수 있습니다.
LayerSlider 플러그인은 사용자가 웹사이트에 애니메이션과 효과를 만들고 추가할 수 있는 웹 콘텐츠 편집기입니다. 개발자에 따르면 이 플러그인은 "전 세계 수백만 명의 사용자"가 사용하고 있습니다.
SQL 주입 취약점(CVE-2024-2879)은 CVSS 심각도 점수 9.8을 받았으며 LayerSlider 버전 7.9.11 ~ 7.10.0에 영향을 미칩니다.
이 문제는 사용자 제공 매개변수의 이스케이프가 충분하지 않고 wpdb::prepare()가 없기 때문에 발생합니다. 이로 인해 인증되지 않은 공격자가 추가 SQL 쿼리를 추가하고 중요한 정보를 얻을 수 있습니다.
이 취약점은 2024년 3월 27일 LayerSlider 버전 7.10.1이 출시되면서 해결되었습니다