Hackers Evade Outlook Spam Filters to Deliver Malicious ISO Files
Hackers Evade Outlook Spam Filters to Deliver Malicious ISO Files
A newly discovered technique allows threat actors to circumvent Microsoft Outlook’s spam filters to deliver malicious ISO files.
gbhackers.com
- 공격 개요
- 공격자가 Microsoft Outlook의 스팸 필터를 우회해 악성 ISO 파일을 배포하는 새로운 기법 발견
- 하이퍼링크 난독화를 통해 악성 링크를 정상 URL처럼 위장하여 피싱 이메일을 수신자의 주 메일함에 전달
- Outlook의 기본 스팸 필터링 시스템에 의존하는 조직의 이메일 보안 방어를 약화시킴
- ISO 파일 악용 기법의 진화
- 기존 ISO 파일 공격 기법: 사회공학적 기법을 이용해 사용자가 ISO 파일을 다운로드 및 실행하도록 유도
- 새로운 기법: 이메일 수준의 방어 시스템을 회피해 악성 파일을 사용자의 주 메일함에 직접 도달
- ISO 파일의 장점: 전통적인 엔드포인트 감지 메커니즘을 우회 가능
- 실행 파일(.exe)과 달리 디스크 이미지 파일은 기본적으로 악성으로 인식되지 않음
- 스크립트, 랜섬웨어, 스파이웨어 등을 내장할 수 있음
- Outlook 스팸 필터 우회 방법
- 일반적으로 Outlook의 스팸 필터는 고위험 파일 확장자(.iso, .exe)가 포함된 직접 링크를 격리
- 예: https://malicious[.]com/update.iso와 같은 직접 링크는 스팸 처리
- 새로운 기법: HTML 난독화를 사용해 안전한 URL처럼 보이게 위장
<a href="https://malicious[.]com/update.iso">https://trusted[.]com/security-update</a>- 사용자에게는 정상적인 보안 업데이트 링크로 보이지만, 실제로는 악성 ISO 파일을 다운로드
- 공격 확장 가능성
- 새로운 기법은 피싱 캠페인을 쉽게 수행할 수 있게 함
- URL 평판 검사 우회: 많은 이메일 보안 도구는 도메인만 검사하고 파일 경로나 확장자는 무시
- 사용자 신뢰 악용: 위장된 링크를 통해 정상적인 소프트웨어 업데이트나 문서 공유 포털로 오인 유도
- 다운로드 후 보호 우회: 사용자가 수동으로 ISO 파일을 추출 및 실행하면 Microsoft Defender SmartScreen 경고를 회피
- 새로운 기법은 피싱 캠페인을 쉽게 수행할 수 있게 함
- 결론
- Microsoft는 아직 Outlook 스팸 필터링 로직 업데이트 계획을 발표하지 않음
- 보안 연구자들은 href 속성 분석 및 파일 확장자와 위협 인텔리전스 피드 교차 참조가 필요하다고 권고
- 조직은 이메일 보안 인프라를 강화하고, 특히 엔드포인트 탐지 및 대응(EDR) 도구를 통해 악성 ISO 파일 활동을 감지해야 함
- 사용자는 의심스러운 링크를 클릭하지 않도록 주의하고, 이메일 내 다운로드 파일 경로를 항상 확인해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Black Basta 랜섬웨어 공격 방어 전략 (0) | 2025.03.08 |
|---|---|
| Windows 정책 허점을 악용한 대규모 악성코드 배포 캠페인 (0) | 2025.03.08 |
| OpenAI o1/o3, DeepSeek-R1, Gemini 2.0 Flash 모델의 H-CoT 기법을 활용한 보안 우회 공격 (0) | 2025.03.08 |
| Auto-Color 악성코드, Linux 시스템을 노려 원격 제어 권한 탈취 (0) | 2025.03.08 |
| 2024년 개발자, "개발보다 운영에 더 많은 시간 할애" IDC 보고서 (0) | 2025.03.08 |