ClickCease WinRAR 결함: 론페이지 악성코드, 우크라이나 기업들을 공격하다

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

WinRAR 결함: 론페이지 악성코드, 우크라이나 기업들을 공격하다

와자핫 라자

2024년 1월 4일 TuxCare 전문가 팀

사이버 보안 영역에서는 경계를 늦추지 않는 것이 가장 중요하며, 최근의 발전으로 우크라이나 기업이 직면한 지속적인 위협이 드러나고 있습니다. 2023년 2023년 중반우크라이나 CERT는 자문 #6710을 발표하여 다음과 같이 식별된 위협 행위자의 신원을 공개했습니다. "UAC-0099." 이 공격자의 활동과 사용 도구는 이 권고에 간결하게 설명되어 있습니다. 이 블로그 게시물에서는 다음과 같은 지속적인 사이버 보안 위협의 복잡한 세부 사항을 살펴봅니다. 론페이지 멀웨어. 또한 이 공격의 전술과 우크라이나 기업을 대상으로 한 표적 공격의 진화하는 환경에 대해서도 알아볼 것입니다.


론페이지 악성코드: 우크라이나에 대한 UAC-0099의 계속되는 공격


CERT-UA의 권고가 발표된 이후,
딥 인스팅트가 밝혀낸 새로운 멀웨어 공격 특히 우크라이나 기관을 표적으로 삼는 새로운 멀웨어 공격을 발견했습니다. 특히, UAC-0099는 우크라이나의 의심하지 않는 표적들을 유인하여 악성 파일을 실행하도록 유도하기 위해 조작된 법원 소환장을 배포하는 교묘한 전략을 사용합니다. 우크라이나 기업의 사이버 보안 은 끊임없이 진화하는 디지털 환경에서 최우선 순위이며, 위험을 완화하고 새로운 사이버 위협에 대한 방어를 강화하기 위한 강력한 전략이 필요합니다.


UAC-0099 및 WinRAR 익스플로잇


UAC-0099는 우크라이나를 대상으로 한 일련의 공격에 연루되어 있으며, WinRAR 소프트웨어의 심각한 결함을 악용하여
LONEPAGE 악성 코드. 사이버 보안 업체 Deep Instinct에 따르면, 이 위협 행위자는 국제 기업에 소속된 우크라이나 직원을 노리고 있다고 합니다.

 

심층 분석 결과, 딥인스팅트는 UAC-0099의 공격 벡터에 HTA, RAR, LNK 파일이 첨부된 피싱 메시지가 포함된다는 사실을 발견했습니다. 이러한 첨부 파일이 활성화되면 비주얼 베이직 스크립트(VBS) 멀웨어인 LONEPAGE의 배포를 트리거합니다. LONEPAGE는 명령 및 제어(C2) 서버와의 통신을 설정하여 키로거, 스틸러, 스크린샷 멀웨어와 같은 추가 페이로드를 가져올 수 있는 기능을 보여줍니다.


침입의 타임라인


UAC-0099의 기원은 2023년 6월, CERT-UA가 위협 행위자의 활동을 처음 문서화한 시점으로 거슬러 올라갑니다. 이 보고서와 관련된
사이버 보안 트렌드 에서는 우크라이나 내 국가 기관과 미디어 기관에 대한 UAC-0099의 스파이 활동 중심의 공격을 강조했습니다. 놀랍게도 2022년부터 2023년까지 우크라이나의 수많은 컴퓨터에 대한 무단 원격 액세스가 발생했습니다. 이를 감안할 때, 엄격한 데이터 보안 조치를 데이터 보안 조치 를 구현하는 것이 민감한 정보를 보호하는 데 매우 중요하다고 할 수 있습니다.


다양한 공격 벡터


딥인스팅트의 최신 분석에 따르면 UAC-0099가 사용하는 세 가지 감염 체인이 밝혀졌습니다. 첫 번째는 HTA 첨부 파일이고, 나머지 두 개는 자동 압축 풀기(SFX) 아카이브와 악성 ZIP 파일을 활용합니다. ZIP 파일의 경우, UAC-0099는 WinRAR 취약점(CVE-2023-38831, CVSS 점수: 7.8)을 익스플로잇하여
LONEPAGE 악성코드.


기만 전술


SFX 파일에는 법원 소환장을 위한 DOCX 파일로 위장한 LNK 바로 가기가 숨겨져 있습니다. 위협 행위자는 Microsoft 워드패드 아이콘을 사용하여 피해자가 파일을 열도록 유도하고, LONEPAGE 멀웨어를 드롭하는 악성 파워셸 코드가 실행되도록 유도합니다.

두 번째 공격 시퀀스에는 CVE-2023-38831에 취약한 세심하게 제작된 ZIP 아카이브가 포함됩니다. 딥인스팅트는 2023년 8월 5일, WinRAR이 이 취약점에 대한 패치를 발표한 지 불과 3일 만에 UAC-0099에 의해 생성된 두 개의 아티팩트를 발견했습니다. 초기 감염 벡터는 서로 다르지만, 핵심 감염 방법은 일관되게 유지되고 있으며, PowerShell과 VBS 파일을 실행하는 예약된 작업 생성에 의존하고 있습니다.


사이버 위협 환경: 새로운 물결


이러한 폭로와 동시에 CERT-UA는 미납된 키이브스타 회비를 가장한 새로운 피싱 메시지에 대한 경고를 발표했습니다. 이 메시지는 UAC-0050으로 알려진 원격 액세스 트로이 목마인 Remcos RAT를 전파하는 것을 목표로 합니다.
WinRAR 취약점 은 심각한 사이버 보안 위험을 초래할 수 있으며, 시스템을 보호하고 잠재적인 익스플로잇으로부터 보호하기 위한 신속한 패치와 사전 조치의 중요성을 강조합니다.


결론


사이버 위협의 환경
사이버 위협 2023 은 역동적이며, UAC-0099의 활동은 흔들림 없는 경계의 필요성을 강조합니다. 이들의 전술과 이들이 악용하는 취약점을 이해하는 것은 방어 체계를 강화하는 데 매우 중요합니다. 조직, 특히 우크라이나와 관련이 있는 조직은 진화하는 사이버 공격을 막기 위해 사이버 보안 조치의 우선순위를 정해야 합니다. 우크라이나 사이버 보안 사고 디지털 인프라의 안전을 보장하기 위한 사이버 보안 조치를 우선시해야 합니다. 사이버 보안 환경이 진화함에 따라 최신 정보를 파악하고 사이버 보안 모범 사례 이러한 교활한 위협으로부터 보호하는 데 있어 여전히 핵심적인 요소입니다.

 

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스깊은 본능.

 

요약
WinRAR 결함: 론페이지 악성코드, 우크라이나 기업들을 공격하다
기사 이름
WinRAR 결함: 론페이지 악성코드, 우크라이나 기업들을 공격하다
설명
WinRAR 익스플로잇을 통해 우크라이나 기업을 표적으로 삼는 LONEPAGE 멀웨어에 대한 최신 정보를 알아보세요. 사이버 보안 위협에 대한 최신 정보를 확인하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기