계속해서 성장하고 끊임없이 변화하는 온라인 세계에서 위협은 너무나 흔하고 탐지하기 어려워 보안을 유지하는 것이 공격자보다 한 발 앞서 나가는 문제입니다.
사이버 보안 회사인 Sophos가 발표한 새로운 연구 결과에 따르면 세 번째 공격자가 공개적으로 사용 가능한 실험적인 Office 익스플로잇을 이용하여 Formbook 맬웨어를 전달할 수 있었습니다.
공격자는 올해 초 수정된 Microsoft Office의 중요한 원격 코드 실행 취약점을 우회할 수 있는 익스플로잇을 생성한 것으로 추정됩니다.
공격자는 익스플로잇으로 중요한 Microsoft Office 패치를 우회합니다.
모든 것이 어떻게 시작되었는지 이해하기 위해 너무 오래 되돌아갈 필요는 없습니다. 지난 9월 Microsoft는 공격자가 Word 문서에 포함된 악성 코드를 실행하지 못하도록 하는 패치를 출시했습니다.
이 취약점은 악성 실행 파일이 포함된 Microsoft 캐비닛(CAB) 아카이브를 자동으로 로드합니다.
이것은 원래의 익스플로잇을 재작업하고 악의적인 Word 문서를 특수하게 조작된 RAR 아카이브에 배치함으로써 달성되었습니다. 이 아카이브는 원본 패치를 성공적으로 우회할 수 있는 익스플로잇 형태를 제공했습니다.
또한 이 최신 익스플로잇은 스팸을 통해 피해자에게 약 36시간 동안 전달되어 완전히 사라졌습니다.
Sophos의 보안 연구원들은 익스플로잇의 제한된 수명이 향후 공격에 사용될 수 있는 시험적인 실험임을 의미할 수 있다고 믿습니다.
수정 이전의 공격 버전은 Microsoft 캐비닛 파일에 포함된 악성 코드를 사용했습니다. 마이크로소프트의 패치가 그 허점을 막았을 때, 공격자들은 멀웨어가 어떻게 다른 압축 파일 형식인 RAR 아카이브로 결합될 수 있는지를 보여주는 개념을 발견했습니다. 이전에는 RAR 아카이브를 사용하여 악성 코드를 배포했지만 여기에 사용되는 프로세스는 비정상적으로 복잡했습니다. 아마도 이것은 패치의 범위가 매우 좁게 정의되어 있고 사용자가 RAR을 열어야 하는 WinRAR 프로그램이 내결함성이 매우 강하고 아카이브 형식이 잘못된 경우에도 신경 쓰지 않는 것 같기 때문에 가능했을 것입니다. 예를 들어, 위조로 인해 …
또한 공격자는 PowerShell 스크립트가 아카이브 내부에 저장된 악성 Word 문서를 추가하는 비정상적인 RAR 아카이브를 생성한 것으로 나타났습니다.
이 위험한 RAR 아카이브와 악성 콘텐츠의 확산을 용이하게 하기 위해 공격자는 스팸 메시지를 만들고 배포했으며, 이 스팸 메시지는 피해자가 Word 문서에 액세스하기 위해 RAR 파일의 압축을 풀도록 요청했습니다.
따라서 이 소프트웨어를 다룰 때 그리고 무언가가 원격으로 의심스러워 보이는 경우 이를 염두에 두는 것이 좋습니다.
보안은 우리가 인터넷을 서핑할 때 최우선 순위가 되어야 합니다. 처음에는 무해해 보일 수 있는 간단한 행동이 일련의 심각한 사건과 결과를 초래할 수 있습니다.
당신도 이러한 맬웨어 공격의 희생자가 되었습니까? 아래 의견 섹션에서 경험을 공유하십시오.
답글 남기기