MS가 일부 파일의 매크로 발동 금지시키자, XLL 파일을 활용하기 시작

요약 : 보안 외신 해커뉴스에 의하면 APT 단체들이 엑셀 애드인 파일(.xll)을 최초 침투용으로 활용하는 사례가 늘어나는 중이라고 한다. XLL은 일종의 DLL 파일인데, 엑셀에서만 활성화 되는 것이라고 볼 수 있다. XLL 파일에 매크로를 발동시키는 스크립트를 포함시키고, 이를 피해자에게 이메일로 보내는 방식으로 공격이 진행된다. 피해자가 파일을 다운로드 받아 열면 매크로가 시작되면서 각종 멀웨어가 피해자의 시스템에 설치된다. 최근에는 에키파갯(Ekipa RAT)이라는 멀웨어가 이런 식으로 퍼진다고 한다.


배경 : MS는 2022년 7월 이메일로 전달된 오피스 파일의 매크로가 자동으로 발동되지 않도록 자사 정책을 바꿨다. 하지만 이는 액세스, 엑셀, 파워포인트, 비지오, 워드의 최신 버전들에만 적용된다. 공격자들은 이를 이용해 악성 매크로를 통한 공격이 여전히 통하는 방법들을 개발 중에 있다. 그러면서 발견된 것이 XLL 파일이다.

말말말 : “공격자들은 상황에 따라 끊임없이 변화합니다. 방어를 한층 강화하면 그것을 우회하고, 다시 방어력을 높이면 또 다시 우회 방법을 개발합니다. 그래서 한 번에 모든 것을 해결하는 만병통치약이 있을 수 없는 겁니다.” -트러스트웨이브(Trustwave)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>