ClickCease Microsoft 멀웨어 공격으로 인해 MSIX 앱 인스톨러가 비활성화됨

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Microsoft 멀웨어 공격으로 인해 MSIX 앱 인스톨러가 비활성화됨

by 와자핫 라자

2024년 1월 11일 TuxCare 전문가 팀

최근 발표에서 Microsoft는 다음과 같은 악성 코드 공격으로 인해 ms-appinstaller 프로토콜 처리기를 기본값으로 비활성화하기로 다시 한 번 결정했다고 밝혔습니다. Microsoft 맬웨어 공격. 다양한 위협 행위자가 멀웨어 배포에 악용하는 것에 대해 선제적인 조치를 취한 것입니다.

이번 조치는 다음과 같이 확인된 Windows AppX 설치 관리자 스푸핑 취약점의 지속적인 악용에 대응하기 위한 것입니다. CVE-2021-43890으로 확인된 이 취약점은 몇 년 전에 Microsoft에서 처음 문서화했습니다. 이 취약점을 악용하는 사례가 증가함에 따라 MSIX 보안 조치.

이 블로그 게시물에서는 다음을 둘러싼 최근 상황을 살펴봅니다. Microsoft 멀웨어 공격특히 보안 조치를 강화하고 사용자를 보호하기 위해 MSIX 앱 인스톨러를 비활성화한 방법에 중점을 두고 설명합니다.

 

Microsoft 멀웨어 공격의 배경

 

2년 전 Microsoft가 문서화한 이 취약점은 이전에 공격자들이 랜섬웨어가 포함된 패키지를 제작할 때 악용한 적이 있습니다. 당시에는 Microsoft 보안 조치 에는 사용자에게 최신 인스톨러 버전으로 업데이트하거나 그룹 정책을 사용하여 ms-appinstaller 프로토콜을 비활성화하도록 권장하는 내용이 포함되어 있었습니다. 그러나 이러한 앱 인스톨러 취약점을 악용하는 공격이 다시 증가하면서 앱 인스톨러 취약점 의 악용이 다시 증가함에 따라 Microsoft는 새로운 지침을 발표했습니다.

위협 행위자 활동

 

Microsoft 위협 인텔리전스 팀은 위협 행위자가 멀웨어의 액세스 경로로 ms-appinstaller 프로토콜 핸들러의 현재 구현을 악용하는 것을 관찰했습니다. 이는 특히 랜섬웨어 배포로 이어져, 안전한 소프트웨어 설치의 필요성을 강조했습니다. 안전한 소프트웨어 설치 이러한 위험을 완화하고 전반적인 시스템 보안 강화.

특히, 사이버 범죄자들은 불법적인 활동을 위해 MSIX 파일 형식과 ms-appinstaller 프로토콜 핸들러를 활용하여 멀웨어 키트를 서비스로 제공하고 있습니다. 이러한 변경 사항은 앱 인스톨러 버전에 구현되었습니다. 1.21.3421.0 이상 버전에 구현되었습니다.

Microsoft 맬웨어 공격 - 방법

 

2023년 11월 중순부터 금전적 동기를 가진 여러 해킹 그룹이 앱 인스톨러 서비스를 악용하는 것이 확인되었습니다. 이 공격에는 서명된 악성 MSIX 애플리케이션 패키지가 Microsoft Teams를 통해 배포되거나 인기 있는 검색 엔진에 사기성 광고가 포함됩니다. 

이러한 공격은 Storm-0569, Storm-1113, Sangria Tempest, Storm-1674와 같은 그룹에 의해 발생했으며, 이들은 각각 고유한 전술을 사용하여 침투 및 후속 랜섬웨어 활동을 수행합니다.


Storm-0569

 

  • 초기 액세스 브로커 역할을 합니다.
  • SEO 중독을 통해 배트로더를 전파합니다.
  • 코발트 스트라이크를 배포하고 블랙 바스타 랜섬웨어 배포를 촉진합니다.

 

Storm-1113

 

  • 초기 액세스 브로커 역할을 합니다.
  • Zoom으로 가장한 가짜 MSIX 설치 프로그램을 사용하여 EugenLoader를 배포합니다.
  • 다양한 도용 멀웨어 및 원격 액세스 트로이 목마의 통로 역할을 합니다.

 

상그리아 템페스트(카본 스파이더 및 FIN7)

 

  • 폭풍-1113의 유겐로더를 사용하여 카바낙을 떨어뜨립니다.
  • Google 광고에 의존하여 악성 MSIX 애플리케이션 패키지 및 파워트래시를 배포합니다.

 

Storm-1674

 

  • 초기 액세스 브로커로 작동합니다.
  • Teams 메시지를 통해 마이크로소프트 원드라이브 및 셰어포인트로 가장한 랜딩 페이지를 보냅니다.
  • TeamsPhisher 도구를 사용하여 SectopRAT 또는 DarkGate 페이로드가 포함된 악성 MSIX 설치 프로그램을 배포합니다.


이전 인시던트


Microsoft가 MSIX ms-appinstaller 프로토콜 핸들러를 비활성화한 것은 이번이 처음이 아닙니다. 2022년 2월에도 위협 공격자가 이 벡터를 사용하여 이모텟, 트릭봇, 바잘로더를 전달하는 것을 막기 위해 유사한 조치를 취한 바 있습니다. 강력한 사이버 보안 전략을 구현하는 것은 효과적인 멀웨어 공격을
멀웨어 공격 방지 강력한 사이버 보안 전략을 구현하는 것이 중요합니다.


착취 이유


위협 행위자들은 멀웨어로부터 사용자를 보호하기 위해 설계된 안전 메커니즘을 우회할 수 있기 때문에 ms-appinstaller 프로토콜 핸들러 벡터에 주목합니다. 여기에는 실행 파일 다운로드에 대한 브라우저의 기본 제공 경고 및 Microsoft Defender 스마트스크린 우회가 포함됩니다. 따라서 정기적으로
Windows 보안 업데이트 를 정기적으로 적용하는 것은 진화하는 사이버 위협으로부터 운영 체제를 지속적으로 보호하고 복원력을 확보하는 데 필수적입니다.


결론


결론적으로, Microsoft가 ms-appinstaller 프로토콜 처리기를 기본적으로 비활성화하기로 한 결정은 악의적인 공격자가 제기하는 지속적인 위협의 심각성을 강조합니다. 중요성
MSIX 보안 의 중요성은 탄력적이고 안전한 소프트웨어 생태계를 유지하는 데 있어 중추적인 요소로 부상하고 있습니다.

사용자는 최신 앱 인스톨러 버전으로 업데이트하여 강화된 보안 조치를 구현하여 강력한 사이버 위협 완화 진화하는 위험으로부터 시스템을 보호할 수 있습니다.

사이버 보안 환경이 계속 진화함에 따라 경계를 늦추지 않고 사이버 보안 모범 사례 을 채택하는 것이 새로운 위협으로부터 보호하는 데 여전히 중요합니다. 악성 소프트웨어 예방 은 잠재적인 위협으로부터 시스템을 보호하기 위한 사이버 보안 조치의 최우선 순위입니다.

안전하게 지내세요!

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스삐 소리 나는 컴퓨터.

요약
Microsoft 멀웨어 공격으로 인해 MSIX 앱 인스톨러가 비활성화됨
기사 이름
Microsoft 멀웨어 공격으로 인해 MSIX 앱 인스톨러가 비활성화됨
설명
Microsoft 맬웨어 공격으로부터 보호하세요. MSIX 앱 설치 관리자 취약점을 해결하여 시스템을 보호하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기