ClickCease 에이전트 테슬라를 배포하는 데 악용된 MS Excel 취약점

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

에이전트 테슬라를 배포하는 데 악용된 MS Excel 취약점

와자핫 라자

2024년 1월 1일 TuxCare 전문가 팀

악의적인 의도를 가진 위협 행위자들은 이제 이전부터 악용해 왔던 MS Excel 취약점 피싱 캠페인의 일부로 악용하고 있습니다. 이러한 익스플로잇의 목적은 에이전트 테슬라라고 불리는 인포스틸러 멀웨어를 전송하는 것입니다.

최근 보고에 따르면 메모리 손상 취약점이 코드 실행 권한을 획득하기 위한 익스플로잇에 적극적으로 사용되고 있습니다. 이 글에서는 시스템을 안전하게 보호하는 데 도움이 되는 공격의 모든 세부 사항을 자세히 살펴봅니다.

 

MS Excel 취약점: 익스플로잇 세부 정보 

최근 보고서 에 따르면 감염 사슬이 가짜 엑셀 문서를 사용한다는 사실이 밝혀졌습니다. 이 문서는 인보이스를 주제로 한 메시지와 잠재적 표적에 첨부됩니다. 잠재적 공격자가 이러한 악성 문서를 열면 CVE-2017-11882가 활성화됩니다.

이 취약점은 심각도 점수가 7.8에 달하는 중대한 취약점이라는 점을 언급할 필요가 있습니다. Microsoft Office의 방정식 편집기와 관련된 이 취약점은 다음을 제공할 수 있습니다. 원격 코드 실행 기능을 제공할 수 있습니다. 또한, 위협 행위자가 악성 파일을 연 사용자의 권한을 가질 수 있게 해줍니다.

이러한 점을 고려할 때, 관리자 권한이 있는 경우 이를 성공적으로 익스플로잇하면 위협 행위자가 이를 획득하여 사용할 수 있다고 말할 수 있습니다. 이러한 권한을 통해 악성 프로그램을 설치하거나, 데이터를 수정 또는 탈취하거나, 새로운 계정을 생성하여 공격 범위를 넓히고 피해를 극대화할 수 있습니다.

이러한 보고서의 세부 사항은 지스케일러 쓰렛랩즈(Zscaler ThreatLabz)에 의해 밝혀졌습니다. 이 문제에 대한 그의 생각을 공유했습니다, 보안 연구원 카이발야 쿠르살레는 다음과 같이 말했습니다. 다음과 같이 말했습니다. "사용자가 악성 첨부파일을 다운로드하여 열었을 때, Microsoft Excel 버전이 취약한 경우, Excel 파일은 악성 대상과의 통신을 시작하고 추가 사용자 상호 작용 없이 추가 파일을 다운로드합니다."


마이크로소프트 오피스 취약점: 페이로드


파일이 열리자마자 취약점에 대한 익스플로잇 프로토콜이 활성화됩니다. 일단
MS Excel 취약점 취약점이 익스플로잇되면 파일은 통신 프로토콜을 시작합니다. 이 프로토콜의 목적은 최종 페이로드를 전달하는 데 사용되는 일련의 파일을 다운로드하는 것입니다. 여기서 한 가지 주목할 점은 처음 다운로드되는 페이로드가 난독화된 비주얼 베이직 스크립트라는 점입니다.

지금까지 악의적인 익스플로잇 에 관한 한, 비주얼 베이직 스크립트는 Base64로 인코딩된 DLL 파일이 포함된 JPG 파일을 다운로드하는 데 사용됩니다. 데이터 보안 위험으로부터 시스템을 보호하려는 사람들 데이터 보안 위험스프레드시트에 대한 사이버 공격 스프레드시트에 대한 데이터 보안 위험과 사이버 공격으로부터 시스템을 보호하려는 사람들은 DLL 파일이 RegAsm.exe에 삽입된다는 것을 알아야 합니다.

이 도구는 기본적으로 내부의 메타데이터를 읽고 필요한 항목을 레지스트리에 추가합니다. 이를 통해 .NET 분류 프레임워크를 투명하게 만들 수 있습니다. 


에이전트 테슬라의 기원


에이전트 테슬라는 .NET 기반의 지능형 키로거이자 원격 액세스 트로이 목마(RAT)입니다. 이 정보 탈취 멀웨어는 키 입력을 모니터링하고, 스크린샷을 찍고, 다양한 애플리케이션에서 비밀번호를 훔칠 수 있습니다. 데이터를 획득하면 에이전트 테슬라는 일반적인 프로토콜을 사용하여 위협 행위자에게 데이터를 전송합니다. 

이 멀웨어는 2014년에 처음 등장했으며 터키 웹사이트를 통해 광고되었습니다. 처음에 에이전트 테슬라는 고객이 개인 컴퓨터를 모니터링하는 데 사용할 수 있는 원격 액세스 도구로 자리 잡았습니다. 몇 년 동안 주로 바이러스 백신 검사를 통과하는 것을 중심으로 몇 가지 변화를 거친 후, 현재는 55개 이상의 애플리케이션에서 자격 증명을 훔친다고 광고하고 있습니다.

위협 공격자들의 에이전트 테슬라 사용은 2020년 말과 2021년 초에 코로나19가 유행하던 시기에 더욱 흔해졌습니다. 현재 널리 퍼져 있는 악성 활동과 관련된 유사한 추세가 그 시기에도 발견되었다는 점을 언급할 필요가 있습니다. 위협 행위자들은 매크로와 악성 .rtf 파일이 포함된 Office 문서를 사용하여 CVE-2017-11882를 익스플로잇하고 에이전트 테슬라를 다운로드 및 실행했습니다.


Excel을 위한 사이버 보안 모범 사례


최근 뉴스 보도에서 명시적으로 언급된
엑셀의 사이버 보안 모범 사례 에 대한 사이버 보안 모범 사례에 대해 명시적으로 언급했습니다. MS Excel 취약점 에 악용되는 것을 방지하는 데 사용할 수 있는 엑셀의 사이버 보안 모범 사례에 대해 언급했습니다.

피싱 악성 코드에 대한 피싱 멀웨어를 공유하면서 쿠르살레는 다음과 같이 말했습니다. "위협 행위자들은 끊임없이 감염 방법을 변경하기 때문에 조직은 디지털 환경을 보호하기 위해 진화하는 사이버 위협에 대한 최신 정보를 파악하는 것이 필수적입니다."

이것은 MS 엑셀 취약점 원격으로 사용되는 것과 함께 강력한 보안 전략의 필요성을 강조합니다. 강력한 보안 전략 의 필요성을 강조합니다. 또한 사용자는 알 수 없는 출처의 파일 다운로드 및 액세스를 자제해야 합니다.

또한, 위협 행위자가 사용하는 피싱 기술을 숙지하면 다음과 같은 사이버 공격으로부터 보호하는 데 도움이 될 수 있습니다. 스프레드시트에 대한 사이버 공격, 데이터 보안 위험및 기타 온라인 위협으로부터 보호할 수 있습니다.


결론 


위협 행위자들은 최근 들어
MS Excel 취약점 에이전트 테슬라를 유포하기 시작했습니다. 정보를 탈취하는 이 멀웨어는 일단 다운로드되면 피해자에게 심각한 피해를 입힐 수 있습니다. 또한, 위협 공격자들은 감염 방법을 변경하고 있기 때문에 개인 사용자와 조직은 사전 예방적인 사이버 보안 조치를 사전 예방적 사이버 보안 조치 를 사용하여 이러한 위협에 대응하고 보안 태세를 개선해야 합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스TechRadar.

 

요약
에이전트 테슬라를 배포하는 데 악용된 MS Excel 취약점
기사 이름
에이전트 테슬라를 배포하는 데 악용된 MS Excel 취약점
설명
MS Excel 취약점을 악용한 에이전트 테슬라의 유포가 증가하고 있습니다. 보안을 유지하기 위해 이 공격에 대해 자세히 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기