Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향Microsoft 브라우저 버그를 악용하여 VBA 악성코드 배포
작성일 2021-07-30 조회 97

 


한 미확인 위협 행위자는 손상된 Windows 시스템에 저장된 파일에 액세스하고 "비정상적인" 캠페인의 일환으로 악의적인 페이로드 다운로드 및 실행을 수행할 수 있는 완전한 기능을 갖춘 VBA 기반 원격 액세스 트로이 목마(RAT)를 제공하기 위해 Internet Explorer 브라우저의 현재 패치가 부여된 제로 데이 결함을 이용하고 있다.


2021년 7월 21일 의심스러운 Word 파일을 발견한 사이버보안업체 Malwarebytes에 따르면, 백도어는 "Manifest.docx"라는 미끼 문서를 통해 배포되며, 이 문서는 내장된 템플릿에서 취약점에 대한 공격 코드를 로드하고 차례로 쉘코드를 실행하여 RAT를 배포한다.


멀웨어가 깔린 문서는 시민들에게 블라디미르 푸틴 러시아 대통령에 반대할 것을 촉구하는 "크림 반도 주민들의 선언"과 "'인민 저항'이라는 통합 플랫폼을 만드는 것"이라고 주장한다.


CVE-2021-26411로 추적되는 Internet Explorer 결함은 북한의 지원을 받는 Lazarus Group이 취약점 연구 및 개발에 종사하는 보안 연구원 을 대상으로 악용했다는 점이 눈에 띈다.


올 2월 초, 한국의 사이버 보안 회사인 ENKI는 이 국가 연합의 해킹 단체가 악성 MHTML 파일로 보안 연구원들을 겨냥하는 데 실패했다고 발표했다. 


MHTML 파일을 열면 원격 서버에서 두 개의 페이로드(payload)를 다운로드되고 그 중 하나는 Internet Explorer에 대항하는 제로 데이(zero-day)를 포함하고 있으며, Microsoft는 3월 업데이트의 일환으로 화요일에 패치를 통해 이 문제를 해결했다.

 



[그림 1. 공격 실행 코드]

 

 

Internet Explorer 공격은 RAT를 배치하는 데 사용되는 두 가지 방법 중 하나로, 다른 방법은 임플란트가 포함된 원격 매크로 무기화 템플릿을 다운로드하고 실행하는 것을 포함하는 사회 공학 구성요소에 의존한다.


감염 사슬과 관계없이 이중 공격 벡터의 사용은 대상 시스템에 대한 경로를 찾을 가능성을 높이기 위한 시도일 가능성이 높다.


Malwarebytes 연구원은 "두 기술 모두 완전한 기능을 갖춘 원격 액세스 트로이 목마를 떨어뜨리기 위해 템플릿 주입에 의존하지만, 이전에 Lazarus APT가 사용했던 IE 공격(CVE-2021-26411)은 흔치 않은 발견이며, 공격자들은 사회 공학과 공격을 결합하여 목표물이 감염될 가능성을 극대화하기를 원했을 것이다."라고 말했다.


시스템 메타데이터 수집 외에도 VBA RAT는 감염된 호스트에서 실행되는 바이러스 백신 제품을 식별하고 공격자가 제어하는 서버에서 수신하는 임의 파일을 읽고 삭제하고 다운로드하는 등의 명령을 실행하도록 조정되며, 이러한 명령의 결과를 서버에 다시 유출시킨다.


또한 Malwarebytes가 발견한 "Ekipa"라는 별명을 가진 PHP 기반 패널은 공격자가 피해자에 대한 추적과 침입을 성공적으로 이끈 방식에 대한 정보를 보는 데 사용하며, IE 제로 데이와 RAT의 실행을 사용한 성공적인 공격에 대해 강조한다.


Malwarebytes 연구원은 "크림 반도를 둘러싼 러시아와 우크라이나의 갈등이 계속되면서 사이버 공격도 늘고 있다"고 말했다.


"미끼 문서에는이번 공격의 배후의 가능성이 있는 공격의 동기(크림반도)와 표적(러시아인 및 친러시아인 개인)을 보여주는 선언문이 포함되어 있지만 이는 거짓 플래그로 사용될 수도 있다."

 

 


출처
https://thehackernews.com/2021/07/hackers-exploit-microsoft-browser-bug.html

첨부파일 첨부파일이 없습니다.
태그 VBA RAT  Lazarus APT