목차
- 기업 이메일 계정을 대상으로 하는 백투 워크 피싱 캠페인
- Excel 4.0 매크로 공격이 급증하는 이유
- Conti 랜섬웨어 공격으로 산업용 IoT 회사 인 어드밴텍에 1,400 만 달러 요구
1. 기업 이메일 계정을 대상으로 하는 백 투 워크 피싱 캠페인
- 11 월 말, 공격 이메일 중 하나를 감지
- 이 메시지는 받는 사람 회사의 내부 알림으로 위장
- 발신자 주소를 위장하기 위해 스푸핑 기술을 사용
- 그러나 이메일은 회사 내부에서 보낸 것이 아님
- 발신자의 실제 주소는 'news@newsletterverwaltung.de'이며, 그렇지 않으면 알려지지 않은 당사자
- 또한 IP는 회사 IP와 일치하지 않는 블랙리스트에 있는 VPN 서비스에서 시작
- 보낸 사람이 자동화 된 내부 시스템을 가장하고 있음을 나타냄
- 이 이메일은 수신자에게 제목에 수신자 이름이 포함 된 HTML 첨부 파일을 열도록 지시
- 문서를 열었을 때 해당 문서는 대상 회사의 원격 작업 정책에 대한 새로운 지침을 제시
- 또한 사용자에게 업데이트 된 약관에 대한 승인을 제출하도록 촉구하는 링크도 포함되어 있음
- 실제로 이메일 자격 증명을 훔치도록 설계된 가짜 로그인 페이지로 이동
- 이러한 악의 인 행위자는 대상 회사의 민감한 데이터에 액세스하기 위해 이러한 세부 정보를 사용할 수 있음
- 발견 될 당시이 피싱 캠페인은 G Suite의 이메일 보안 도구를 우회하여 100,000 명의 직원받은 편지함에 도착했다 함
2. Excel 4.0 매크로 공격이 급증하는 이유
- Excel 4.0 매크로는 거의 30 년 동안 사용되어 왔지만 올해 공격자들은 이를 무기화 할 새로운 방법을 찾음
- 연구원들은 샘플을 보고 괄찰하여 웨이브로 그룹화하여 맬웨어 작성자가 작업을 개선하여 악성 스프레드 시트를 더욱 정교하고 회피하도록 만드는 방법을 알음
- XL4 매크로라고도 하는 Excel 4.0 매크로는 2 월에 더욱 널리 보급됨
- 일반적으로 피해자는 이메일로 악성 XLS 파일을 받고 속여 매크로를 활성화
- 공격자는 네트워크에 액세스하여 잠재적으로 더 영구적 일 수있는 추가 맬웨어를 전달할 수 있음.
- Trickbot, Danabot, Gozi 및 ZLoader를 포함한 여러 상용 악성 코드 제품군은이 아이디어를 사용하여 대상 네트워크에 발판을 마련
- 실제로 연구원들은 이러한 유형의 맬웨어가 광범위한 가능성의 문을 열어 준다고 말함
Excel 4.0 매크로 란?
- 사용자가 화면에 메시지를 표시하거나 Windows 앱을 실행할 수있는 간단한 매크로를 만들수 있음
- 사용자가 반복적 인 작업을 자동화하는 매크로를 만들 수 있다는 아이디어는 Excel이 처음 시작된 이래로 존재했으며 XLM은 Excel 4.0이 출시 된 1992 년에 기본 매크로 언어가 됨.
- 계산기를 표시하는 = EXEC ( "calc.exe")처럼 간단 할 수 있지만 다른 일부는 파일 시스템, 레지스트리, WinAPI 등에 대한 액세스를 허용하는 여러 줄의 코드를 쌓을 수 있음
- 반대로 표준 매크로는 통합 문서 관련 계산으로 제한되며 낮은 수준에서 시스템과 상호 작용할 수 없음
XL4 매크로는 점점 더 복잡해지고 있음
- 3 월 중순까지 매크로는 문자를 ASCII 코드로 변환하는 CHAR (integer) 함수를 대량으로 사용
- 페이로드의 각 문자는 해당하는 CHAR 함수를 사용하여 작성된 다음 문자열이 연결
- 이는 다양한 다른 형식으로 나타나는 일반적인 난독화 기술
- 연구원들은 더 많은 WinAPI 활동을 보았고 매크로가 레지스트리에서 Excel의 특정 보안 설정을 확인하기 시작했음을 발견
- 또한 특정 날짜에 실행해야하는 몇 가지 샘플을 수집함.
- 그날은 페이로드의 난독화를 해제하는 열쇠로 사용됨
- 샘플이 Excel 창을 숨기거나 최소화했는지 확인하기 시작한 5 월 중순 경에 또 다른 개선 된 회피 기술이 나타남
- 일반적인 CHAR 함수를 활용하는 대신 문자열에서 하위 문자열을 추출하는 MID 함수를 사용하는 샘플을 발견함
- CHAR를 예상하는 난독화 관련 서명을 깨 뜨리려는 시도
- 6 월과 7 월까지 페이로드에서 VBS (Visual Basic Script)에 크게 의존하기 시작
- 머신이 32 비트 또는 64 비트 아키텍처를 사용하는지 확인하여 해당 페이로드를 다운로드함
- 32 비트 머신의 경우 이전 공격 웨이브에서 사용 된 것과 유사한 기술을 사용함
- 그러나 64 비트 아키텍처의 경우 맬웨어 작성자는 두 개의 VBS 스크립트에 의존
- 하나는 DLL을 다운로드하고 다른 하나는 이를 실행
3. Conti 랜섬웨어 공격으로 산업용 IoT 회사 인 어드밴텍에 1,400 만 달러 요구
https://hotforsecurity.bitdefender.com/blog/conti-ransomware-attack-demands-14-million-from-industrial-iot-firm-advantech-24608.html
- 세계 최대의 산업용 컴퓨터 제조업체 인 대만의 어드밴텍은 랜섬웨어 공격을 받음
- 어드밴텍은 이달 초 내부 네트워크가 해커에 의해 손상되었다고 확인했으며, 공격 확산을 막기위한 조치를 취했지만 데이터 도난과 일부 데이터베이스의 암호화를 방지하는 데 충분하지 않았음
- 공격자들은 산업용 IoT (IIoT) 솔루션의 세계적 리더 인 회사에 750 비트 코인 (현재 환율 기준 약 1,400 만 달러 상당)의 랜섬웨어 지불을 요구했다고 주장
- Conti 랜섬웨어는 악성 이메일 첨부 파일 또는 다운로드를 통해 시작된 공격과 비교하여 이미 컴퓨터 시스템을 손상시킨 해커에 의해 활성화되도록 설계 되었기 때문에 다른 랜섬웨어 공격과 다름
- 이로 인해 한동안 손상된 네트워크에 있었던 공격자가 회사의 인프라에 대한 정보를 수집하고 네트워크의 특정 부분을 공격 대상으로 삼아 잠재적으로 행위에서 발견될 가능성을 줄일 수 있었음
'Trash > legacy' 카테고리의 다른 글
| 20/12/02 일일 보안 동향 (0) | 2020.12.02 |
|---|---|
| 일일 보안 동향 알림 (0) | 2020.12.01 |
| [Android] ListView 예제 소스 (0) | 2015.06.05 |
| [Android] 알림창 메모장 소스 (0) | 2015.06.05 |
| [Android] 무음, 진동, 소리 위젯 어플 소스 (0) | 2015.06.05 |
