요약 : 보안 외신 핵리드에 의하면 해커들이 엑셀 파일을 이용해 멀웨어를 퍼트리고 있다고 한다. 이번 캠페인의 경우 해커들이 노리는 건 윈도 시스템이고, 퍼지는 건 렘코스랫(Remcos RAT)이라는 원격 접근 도구다. 캠페인의 목적은 데이터를 훔치고 원격에서 접근할 수 있는 경로를 확보하는 것이다. 주문서로 꾸며진 피싱 메일부터 공격이 시작되며, CVE-2017-0199라는 취약점을 익스플로잇 함으로써 악성 HTML 애플리케이션 파일이 다운로드 되도록 한다.


배경 : CVE-2017-0199는 원격 코드 실행 취약점이다. 문제의 HTML 애플리케이션 파일은 HTA 파일로, 자바스크립트, VB스크립트, 베이스64 인코딩, URL 인코딩, 파워셸 등 다양한 요소와 기술들로 구성되어 있다. 난독화가 여러 층으로 구성되어 있다는 것이다. 탐지 기술을 잘 회피한 후에는 추가 실행파일을 다운로드 한다.

말말말 : “주문서 이메일에 첨부된 엑셀 파일을 조심스럽게 다뤄야 할 필요가 있습니다. 출처를 완전히 신뢰할 수 있는 게 아닌 이상 그런 파일들은 받지 말거나, 회사 내 보안 담당자에게 부탁하시는 게 좋습니다.” -포티넷(Fortinet)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>