Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향피싱 공격에 사용되는 RTF 템플릿 주입 기법
작성일 2021-12-02 조회 34

 

 

 

중국, 인도, 러시아의 후원을 받는 위협 그룹이 표적 시스템에 멀웨어를 전달하기 위한 피싱 캠페인의 일환으로 RTF(서식 있는 텍스트 형식이라고도 함) 템플릿 삽입이라는 새로운 방법을 채택하는 것이 관찰되었다.

 

Proofpoint 연구원은 "RTF 템플릿 주입은 간단한 방법이며 위협 행위자가 RTF 파일을 사용하여 원격 URL에서 악성 콘텐츠를 검색할 수 있기 때문에 악성 피싱 파일을 첨부하기에 이상적인 새로운 기술입니다."라고 말했다.

 

공격의 핵심은 RTF 파일을 열 때 외부 URL에서 호스팅되는 악성 페이로드를 포함한 콘텐츠 검색을 가능하게 하도록 조작할 수 있는 콘텐츠가 포함된 RTF 파일이 있다.

 

특히 원격 페이로드를 검색할 수 있는 액세스 가능한 파일 리소스 대상 대신 URL 리소스를 지정하여 16진수 편집기를 사용하여 문서의 서식 속성을 변경하는 RTF 템플릿 기능을 활용한다.

 

 

[그림1. 공격 샘플]

 

 

달리 말하면, 공격자는 완전히 무해한 것처럼 보이지만 원격으로 템플릿 기능을 통해 악성 코드를 로드하도록 설계된 표적 피해자에게 악성 Microsoft Word 문서를 보낼 수 있다.

 

따라서 변경된 RTF 파일이 Microsoft Word를 통해 열리면 응용 프로그램은 파일의 미끼 콘텐츠를 표시하기 전에 지정된 URL에서 리소스 다운로드를 진행한다.

 

따라서 위협 행위자가 멀웨어를 배포하기 위해 이 기술을 점점 더 무기화하고 있다는 것은 놀라운 일이 아니다.

 

 

[그림2. 공격 흐름도]

 

 

Proofpoint는 APT 그룹 DoNot 팀, Gamaredon 및 TA423으로 명명된 중국 관련 APT 행위자에 연결된 템플릿 주입 RTF 파일을 관찰했으며, 공격자들은 파키스탄, 스리랑카, 우크라이나, 및 말레이시아의 심해 에너지 탐사 부문에서 국방 테마 및 기타 국가별 미끼를 통해 활동하는 사람들이다.

 

이 중 DoNot 팀은 인도 국가의 이익에 부합하는 사이버 공격을 수행한 혐의를 받고 있지만 Gamaredon은 최근 우크라이나 법 집행 기관에 의해 러시아 연방 보안국(FSB)의 일원으로 공공 및 민간 부문을 공격하려는 시도로 제명되었다.

 

연구원들은 "이 방법을 RTF의 새로운 파일 형식으로 가져오기 위한 위협 행위자의 새로운 방법은 전 세계 조직에 위협의 표면 영역이 확대되고 있음을 나타냅니다."라고 말했다.

 

"이 방법은 현재 제한된 수의 APT 행위자에 의해 사용되지만 사용 용이성과 효율성은 위협 ​​환경 전반에 걸쳐 더 많이 사용될 것으로 예상됩니다."라고 결론지었다.

 

 

 

 

출처

https://thehackernews.com/2021/12/hackers-increasingly-using-rtf-template.html

첨부파일 첨부파일이 없습니다.
태그 RTF