Hackers Use Microsoft MSC Files to Deploy Obfuscated Backdoor in Pakistan Attacks
- 공격 개요
- 새로운 피싱 캠페인이 세금 테마를 활용해 백도어를 배포
- Securonix는 이를 FLUX#CONSOLE로 명명하고 활동 추적 중
- MSC(Microsoft Common Console Document) 파일을 악용해 로더와 드로퍼를 배포
- 공격 기법
- 이중 확장자 파일(.pdf.msc)을 사용해 PDF로 위장
- 파일 확장자 숨기기 설정이 활성화된 경우 사용자가 의심하지 않음
- Microsoft Management Console(MMC)을 통해 실행 시 임베디드 JavaScript 코드가 작동
- 코드 실행 과정
- 디코이 파일 표시
- DLL 파일(DismCore.dll) 백그라운드 로드
- 원격 HTML 파일에 접근해 추가 악성 코드 실행
- 지속성 확보
- 예약 작업을 활용해 감염 시스템 유지
- 주요 악성 페이로드
- 원격 서버와의 접속 설정 및 명령 실행
- 시스템 데이터 탈취
- 이중 확장자 파일(.pdf.msc)을 사용해 PDF로 위장
- 공격 대상 및 특징
- 문서 이름: "Tax Reductions, Rebates and Credits 2024"
- 대상: 파키스탄 연방 세무청(FBR) 관련 세금 문서 위장
- 24시간 이내 공격 활동 중단
- Patchwork 위협 그룹과 유사한 공격 기법, 하지만 명확한 연관성은 불분명
- 공격 분석 및 난이도
- 초기 단계에서 고도로 난독화된 JavaScript 사용
- DLL 내부 악성 코드가 깊게 숨겨져 분석 복잡성 증가
- MSC 파일은 과거 LNK 파일과 유사하게 악용되어 정당한 Windows 관리 워크플로와 혼합 가능
- 보안 권고
- 피싱 이메일에서 의심스러운 첨부 파일 주의
- 파일 확장자 표시 활성화 권장
- Windows 예약 작업과 비정상적인 DLL 로드 활동 모니터링
- 정기적인 시스템 및 파일 점검으로 백도어 감염 예방
- 기업은 이메일 보안 게이트웨이 및 네트워크 탐지 솔루션 강화
- 결론
- MSC 파일을 악용한 이번 공격은 LNK 파일 악용의 진화 형태로 분석됨
- 조직은 첨부 파일 및 다운로드된 파일에 대한 사전 탐지 및 방어 체계를 강화해야 함
- 지속적인 보안 훈련과 더불어 위협 인텔리전스 업데이트를 통해 새로운 공격 기법에 대비 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Cl0p, 클레오(Cleo) 취약점 악용해 데이터 유출 위협 (1) | 2025.01.03 |
|---|---|
| 러시아 위협 그룹 Secret Blizzard, 우크라이나 대상 공격에서 다른 그룹의 툴 재활용 (0) | 2025.01.03 |
| 고도화된 리눅스 루트킷 PUMAKIT 등장: 권한 상승·파일 은닉·디텍션 우회 (0) | 2025.01.03 |
| UAC-0125, Cloudflare Workers를 악용하여 Army+ 앱으로 위장한 악성코드 배포 (0) | 2025.01.03 |
| 안드로이드 생태계에서 발견된 새 멀웨어, 배후에 중국 공안 (0) | 2025.01.02 |