최근 사이버 보안 업계는 중국계로 추정되는 ToddyCat APT 그룹의 새로운 공격 수법에 주목하고 있습니다.
이들은 ESET 안티바이러스 소프트웨어의 DLL 하이재킹 취약점(CVE-2024-11859) 을 악용하여
사용자 몰래 악성 페이로드를 실행하고 있죠.
❓ 어떤 취약점인가요? CVE-2024-11859
이 취약점은 흔히 알려진 DLL 검색 순서 하이재킹(DLL Search Order Hijacking) 유형입니다.
애플리케이션이 시스템 DLL을 잘못된 순서로 검색할 경우,
공격자는 악성 DLL을 먼저 로드시키는 방식으로 임의 코드 실행을 유도할 수 있습니다.
✅ 요약
- 취약점명: CVE-2024-11859
- 영향 범위: 관리자 권한을 가진 공격자가 악성 DLL을 삽입하여 ESET의 명령줄 스캐너에서 실행 가능
- 패치 공개일: 2024년 1월 (공식 공개는 4월 4일)
🐾 ToddyCat APT 그룹의 새로운 전략
보안 업체 Kaspersky의 분석에 따르면, 해당 취약점은 ToddyCat의 신형 악성코드인 TCESB 로 악용되었습니다.
🔍 TCESB의 주요 기능:
- 윈도우 커널 보안 알림 비활성화
- 버전별로 자동 탐색해 공격 위치 결정
- 적절한 커널 정보를 MS 디버그 서버에서 다운로드
- 보안 제품 및 모니터링 툴 우회 및 은닉 실행
특히 이 악성코드는 정상적인 시스템 DLL(version.dll)을 가장하면서 실행되며,
실제로는 정상 DLL 기능을 유지한 채 백그라운드에서 악성 행위를 합니다. 매우 교묘하죠.
🧪 공격 방식 정리
- version.dll 악성 파일을 임시 폴더에 삽입
- ESET의 명령줄 검사기가 해당 폴더를 우선적으로 검색
- 악성 version.dll이 로드되며 TCESB 실행
- 커널 모듈 탐색 후 알림 기능 비활성화
- 사용자 몰래 백도어 또는 데이터 탈취 실행
게다가 ToddyCat은 Dell의 알려진 취약 드라이버(CVE-2021-36276) 도 함께 활용해,
커널 수준에서 탐지 우회를 시도했습니다.
🛡️ 방어 전략은?
Kaspersky는 다음과 같은 보안 수칙을 제안했습니다:
- ✅ 취약 드라이버 설치 이벤트 모니터링
→ loldrivers.io에서 취약 드라이버 목록 확인 가능 - ✅ 운영 체제 디버그 심볼 로딩 이벤트 모니터링
→ 일반 사용자 환경에서 발생 시 이상 징후로 간주 - ✅ 모든 DLL 파일의 디지털 서명 검증
→ 시스템 라이브러리 위장 여부 판별 - ✅ ESET 사용자라면 즉시 최신 패치 적용
→ 2024년 1월 패치를 설치했는지 확인 필수!
🧩 정리: APT는 진화 중, 방어는 민첩해야 합니다
ToddyCat은 이전에도 맞춤형 백도어, 일회성 악성코드, 위장 전략을 구사해 추적을 어렵게 만드는 것으로 유명했습니다.
이번 공격 역시 그런 전략의 일환이며, 커널 단계의 탐지 우회와 보안 도구의 취약점을 정밀하게 노린 점이 특히 위협적입니다.
보안 팀은 안티바이러스 제품 자체도 공격 벡터가 될 수 있다는 점을 인식하고,
행동 기반 탐지, 취약점 기반 로그 모니터링, 커널 이벤트 분석 등 종합적인 방어 체계를 마련해야 합니다.
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 오라클, 결국 인정한 구형 서버 해킹 사건…고객 데이터는 안전할까? 🔐 (1) | 2025.04.10 |
|---|---|
| ⚠️ 무료인데 무서운 악성코드? Neptune RAT, 그냥 두면 큰일 납니다! (1) | 2025.04.10 |
| 🚨 신종 AI 해킹툴 'Xanthorox AI' 등장, 보안업계 초비상! (2) | 2025.04.08 |
| 🚨 MCP에서 심각한 보안 취약점 발견! 툴 포이즈닝 공격(Tool Poisoning Attack)이란? 🔥 (5) | 2025.04.07 |
| 📧 Gmail, 과연 기업 이메일로 안전할까? 구글 E2EE 발표 이후 보안 관점 정리! (1) | 2025.04.05 |