기술 지원
문서
로그인
문의하기
Microsoft 취약점을 악용하여 코발트 스트라이크를 배포하는 멀웨어 캠페인
2022년 10월 12일 TuxCare 홍보팀
Cisco Talos 연구원들이 Microsoft Office의 원격 코드 실행 결함을 악용하여 감염된 피해자에게 코발트 스트라이크 비콘을 적용하는 소셜 엔지니어링 멀웨어 캠페인을 발견했습니다.
공격자가 악용한 취약점은 CVE-2017-0199로, 공격자가 영향을 받는 시스템을 제어할 수 있게 해주는 Microsoft Office의 원격 실행 취약점입니다.
공격자가 사용한 진입 경로는 미국 정부 및 뉴질랜드에 본사를 둔 노조인 공공 서비스 협회의 직책에 대한 구인 제안이 포함된 Microsoft 첨부 파일이 포함된 피싱 이메일입니다.
"발견된 페이로드는 코발트 스트라이크 비콘의 유출된 버전입니다. 비콘 구성에는 임의 바이너리의 표적 프로세스 주입을 수행하는 명령이 포함되어 있으며, 평판이 높은 도메인이 구성되어 있어 비콘 트래픽을 가장하는 리디렉션 기법을 보여줍니다."라고 Cisco Talos의 연구원 Chetan Raghuprasad와 Vanja Svajcer는 수요일에 발표한 새로운 분석에서 설명합니다.
연구원들은 코발트 스트라이크가 공격에 사용된 유일한 멀웨어 샘플이 아니라고 설명했습니다. 연구진은 또한 레드라인 스틸러와 아마데이 봇넷 실행 파일이 페이로드에 사용된 것도 관찰했습니다.
이 공격은 "고도로 모듈화된" 것으로 설명되며, 코발트 스트라이크 DLL 비콘을 배포하는 Windows 실행 파일을 다운로드하는 시작점 역할을 하는 Bitbucket 리포지토리를 사용하기 때문에 악성 콘텐츠를 호스팅하는 데 있어 고유한 것으로 간주됩니다.
BitBucket 리포지토리는 비콘을 다른 BitBucket 계정에 설치하는 모호한 VB 및 PowerShell 다운로더 스크립트를 전달하는 채널 역할을 합니다.
"이 캠페인은 피해자의 시스템 메모리에서 악성 스크립트를 생성하고 실행하는 기술을 사용하는 위협 행위자의 전형적인 예입니다. 조직은 코발트 스트라이크 비콘을 지속적으로 경계하고 공격의 감염 체인 초기 단계에서 공격자의 시도를 차단할 수 있는 계층화된 방어 기능을 구현해야 합니다."라고 연구원들은 말합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
