요약 : 보안 외신 핵리드에 의하면 스페인어 구사자들을 노리는 새로운 피싱 캠페인이 발견됐다고 한다. 이들의 목적은 에이전트테슬라(AgentTesla)라고 하는 원격 접근 멀웨어를 유포하는 것으로 분석됐다. 공격자들은 먼저 대형 금융 기관을 사칭해 윈도 사용자들에게 메일을 보낸다. 이 메일에는 엑셀 문서가 첨부되어 있고, 이 파일 안에는 CVE-2017-0199라는 오래된 취약점에 대한 익스플로잇에 포함되어 있다. 이를 통해 RTF 문서가 추가로 다운로드 되고 오피스 워드 프로그램을 통해 열린다. 그런 후 CVE-2017-11882라는 또 다른 취약점이 익스플로잇 돼 원격 코드 실행이 가능하게 된다. 원격 코드 실행을 통해 에이전트테슬라가 설치되고 실행된다.


배경 : 에이전트테슬라는 닷넷 기반의 RAT 멀웨어다. 공격자들이 피해자의 서버를 완전히 장악할 수 있도록 한다. 핵심이 되는 모듈은 파일레스라는 특성을 가지고 있어 탐지가 매우 어렵다. 예전 버전들은 HTTP POST와 SMTP라는 프로토콜을 통해 데이터를 전송했는데, 이번 버전은 FTP 프로토콜을 활용하는 것으로 분석됐다.

말말말 : “피싱 이메일로부터 공격이 시작되는 만큼 피싱에 대한 경계심이 필요합니다. 비밀번호는 강력하게 설정하고, OS 업데이트도 꾸준히 하는 것이 중요합니다.” -포티넷(Fortinet)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>