대만의 ESET 연구원 그룹에 따르면, 며칠 전 BlackTech 그룹 이 특히 아시아 국가에서 사이버 스파이 활동에 초점을 맞춘 표적 공격에 Plead 악성 코드를 사용 했다고보고 되었습니다 . 이 프로그램은 ASUS WebStorage 서비스를 오용하는 손상된 라우터를 통해 배포 된 것으로 보입니다.
4 월 말 Plead 악성 코드 를 비정상적으로 유포하려는 시도를 여러 번 목격 한 사건이 발생했습니다 . Plead에 내장 된 백도어는 AsusWSPanel.exe라는 합법적 인 프로세스를 사용하여 생성 및 실행되었습니다. 이 프로세스는 ASUS WebStorage라는 클라우드 스토리지 서비스 클라이언트에 속합니다. 또한 실행 파일이 ASUS Cloud Corporation에 의해 디지털 서명되었음을 알게되었습니다. 말할 필요도없이 ESET 연구원들은 이미 무슨 일이 일어 났는지 ASUS에 알 렸습니다.
MitM 공격 (중간자)
ESET에서 그들은 또한 "중간자"공격 일 수 있다는 의혹을 가지고 있습니다. 스페인어로 번역되어 "중간자"공격 또는 "중간자 공격"을 의미합니다. 아마도 ASUS WebStorage 소프트웨어는 피해자에게 Plead 백도어를 제공하기 위해 ASUS 애플리케이션을 업데이트하는 과정에서 발생했을 이러한 공격에 취약 할 수 있습니다 .
이미 알고 있듯이 ASUS WebStorage의 업데이트 메커니즘에는 HTTP를 사용하여 업데이트를 요청하는 클라이언트가 포함됩니다. 초대를 받으면 서버는 GUID 및 링크가 응답에 포함 된 XML 형식으로 응답합니다. 그런 다음 소프트웨어는 설치된 버전이 최신 버전보다 오래된 지 확인합니다. 그렇다면 제공된 URL을 사용하여 바이너리를 요청하십시오.
때이다 공격자는이 두 항목을 교체하여 업데이트를 트리거 할 수 있습니다 자신의 데이터를 사용합니다. 위의 그림은 손상된 라우터를 통해 특정 대상에 악성 페이로드를 삽입하는 데 가장 가능성이 높은 시나리오를 보여줍니다.