앱 개발하라고 만든 플랫폼, 모의 해킹 도구 퍼트리는 데 사용돼

요약 : 마이크로소프트 빌드 엔진(Microsoft Build Engine, MS빌드)을 이용하는 공격 전략이 등장했다. 공격자들은 현재 MS빌드를 악용하여 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구의 비컨(Beacon)이라는 요소를 유포하고 있다고 한다. 아직 공격자들의 신원은 추정되지 않고 있다. 다만 비컨을 추적했을 때 나오는 C2 서버의 주소는 23.227.178.115라고 한다. 공격자들의 동기와 최종 목적에 대해서도 아직은 더 조사를 이뤄가야 한다.


배경 : MS빌드는 윈도에서 애플리케이션을 개발할 때 사용하는 도구다. 특히 비주얼 스튜디오가 설치되지 않았을 때 자주 애용된다. 코발트 스트라이크는 합법적인 모의 해킹 도구이지만, 사이버 공격자들 사이에서 큰 인기를 누리고 있기도 하다.

말말말 : “MS빌드는 마이크로소프트가 서명을 했고 다른 코드들을 통해서도 실행이 가능한 애플리케이션의 목록을 구성할 수 있습니다. 이 목록에 따라 윈도 디펜더의 애플리케이션 제어 정책을 조정하는 것을 권장합니다.” -MS-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>