임시 저장된 ‘작성 중 메일’도 공격 도구
아웃룩 이메일 애플리케이션의 ‘작성 중 메일’ 혹은 ‘메일 임시 저장’ 기능을 C&C로 활용하는 멀웨어 파이널드래프트(FinalDraft)가 처음 등장했다. 이런 수법 덕에 공격자는 데이터 탈취와 프
www.boannews.com
- 개요
- 새로운 멀웨어 ‘파이널드래프트(FinalDraft)’, 아웃룩 ‘작성 중 메일’ 기능을 C&C(Command & Control) 채널로 악용
- 데이터 탈취, 프록싱, 프로세스 주입, 횡적 이동 등 다양한 악성 기능 수행
- 남미 외교 기관에서 최초 발견, 동남아 지역으로 확산 가능성 제기
- 공격 과정
- 패스로더(PathLoader) 사용
- 저용량 실행 파일 형태의 로더가 피해자 시스템에 설치됨
- 실행 시 셸코드가 동작하며 공격자 서버에서 추가 페이로드 다운로드
- 정적 분석을 회피하기 위해 API 해싱 및 문자열 암호화 기법 활용
- 파이널드래프트 설치 후 악성 활동 개시
- 정보 탈취 및 프로세스 주입 수행
- MS 그래프 API(MS Graph API)를 통해 공격자 서버와 통신 채널 개설
- 이후 C&C 명령은 아웃룩의 ‘작성 중 메일’을 통해 전달됨
- C&C 서버 역할을 하는 ‘작성 중 메일’ 기능
- 정상 이메일이 아니라 ‘작성 중 메일’을 악용하여 탐지 회피 가능
- MS 365 정상 트래픽 속에 악성 트래픽이 섞여 탐지 난이도 증가
- 총 37개 명령어 지원, 상황에 맞춰 공격 수행 가능
- 패스로더(PathLoader) 사용
- 리눅스 변종 발견
- 윈도 버전뿐만 아니라 리눅스용 변종도 존재
- REST API, 그래프 API, HTTP/HTTPS, 리버스 UDP(reverse UDP) 활용
- 멀웨어 개발 수준이 상당히 높으며, 운영 실수로 인해 연구원들에게 노출됨
- 결론
- 그래프 API를 활용한 첫 번째 공격 사례로 보안 업계의 주의 필요
- 조기 탐지를 위한 야라(YARA) 규칙을 보안 연구 커뮤니티에 공유
- MS 365 및 아웃룩 환경에서 ‘작성 중 메일’ 관련 비정상적인 트래픽 모니터링 필요
- 기업 및 기관은 멀웨어 탐지를 위한 로그 분석 강화 및 API 사용 정책 점검 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2025 개인정보보호법 개정 주요 내용 및 시행 방안 (0) | 2025.03.01 |
|---|---|
| FBI·CISA, 버퍼 오버플로우 취약점 ‘용서 불가’ 선언 및 긴급 조치 권고 (0) | 2025.03.01 |
| 중국 해커 조직 설트타이푼, 제로데이 연쇄 공격으로 미국 정부 기관 침해 (0) | 2025.03.01 |
| 딥시크, 정교한 프롬프트 입력 시 탈옥 가능성 높아 – 팔로알토 네트웍스 (0) | 2025.03.01 |
| 개인정보보호위원회, ‘딥시크’ 국내 서비스 잠정 중단 결정 (0) | 2025.03.01 |