보안 타이탄에 대한 공격 : Earth Longzhi는 새로운 트릭으로 돌아옵니다. 관련 IOC 27개 발견
-the-scene 스택 럼블 링 및 취약한 드라이버 인 Zamguard.sys를 악용한 IFEO (Image File Execution Options) 공격 방법을 통해 보안 제품 비활성화를 합니다.
Earth Longzhi(APT41의 하위 그룹)는 대만, 태국, 필리핀 및 피지를 대상으로 하는 새로운 캠페인을 발견했습니다. 이 캠페인은 Windows 수비수 실행 파일을 남용하여 DLL 사이드 로딩을 수행하고, 취약한 드라이버 인 Zamguard.sys를 악용하여 호스트에 설치된 보안 제품을 비활성화합니다. 또한 IFEO (Image File Execution Options)를 사용하여 보안 제품 비활성화를 위한 새로운 방법인 "스택 럼블 링"을 사용하는 것도 발견했습니다. 또한 Microsoft 원격 프로 시저 호출 (RPC)을 사용하여 드라이버를 커널 수준 서비스로 설치하는 것으로 나타났습니다. 이 캠페인은 공개 응용 프로그램, IIS, Microsoft Exchange 서버를 악용하는 경향이 있습니다.
Trendmicro
Attack on Security Titans: Earth Longzhi Returns With New Tricks
The IFEO (Image File Execution Options) attack method that exploits Zamguard.sys, a-THE-Scene Stack Rumbling and a vulnerable driver, is disabled.
Earth Longzhi (APT41’s sub -group) has found a new campaign for Taiwan, Thailand, the Philippines and Fiji.The campaign abuses the Windows defender executable to perform DLL side loading, and disables the security products installed in the host by exploiting the vulnerable driver ZAMGUARD.SYS.We also discovered using “Stack Rumbling”, a new way to disable security products using IFEO (Image File Execution Options).In addition, the driver was found to be installed as a kernel -level service using the Microsoft remote procedure call (RPC).This campaign tends to exploit public applications, IIS and Microsoft Exchange servers.
https://www.trendmicro.com/en_us/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html