아직도 적극 익스플로잇 되는 윈도 제로데이 취약점, 새 백도어도 출현

요약 : 보안 외신 해커뉴스에 의하면 폴리나(Follina) 취약점을 악용한 또 다른 피싱 캠페인이 발견됐다고 한다. 공격자들은 폴리나를 통해 피해자의 시스템에 침투한 뒤 로제나(Rozena)라는 새로운 백도어를 심고 있다. 로제나는 현재까지 한 번도 분석된 적이 없는 백도어로, 원격 셸을 주입하여 공격자가 언제든지 피해자의 시스템에 접속할 수 있도록 해 준다고 한다. 보안 업체 포티넷(Fortinet)에 의하면 이번 캠페인의 배후에 있는 공격자들은 오피스 워드 문서를 미끼로 사용하고 있는 것으로 보인다고 한다. 


배경 : 폴리나는 올해 5월 발견된 제로데이 취약점으로 공식 번호는 CVE-2022-30190이다. 현재는 패치가 된 상태지만, 공격자들은 아직도 패치되지 않은 시스템들을 찾아 익스플로잇을 실시하고 있다. 이번 캠페인의 미끼인 워드 문서를 피해자가 열면 디스코드 URL로 연결되어 HTML 파일이 다운로드 되며, 이 HTML은 파워셸을 발동시켜 추가 페이로드를 다운로드 받는다고 한다. 이 추가 페이로드에 로제나가 포함되어 있다.

말말말 : “로제나는 처음 세상에 공개되는 멀웨어로, 원격 접근을 가능하게 하는 백도어입니다. Word.exe라는 페이로드 안에 섞여서 피해자들에게로 유포됩니다.” -포티넷-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>