워드 문서파일로 위장한, NIM 악성코드

공격자들이 가짜 마이크로소프트 워드 문서 파일로 위장해 Nim 기반 악성 코드를 유포하고 있다. 사회공학^{(Social-Engineering)}과 스피어 피싱^{(Spearfishing)} 이메일로 공격 대상을 속여 가짜 워드 문서를 실행하게 하고, 해당 문서 파일을 실행한 피해자의 컴퓨터는 악성코드가 감염된다.

• Decoy Microsoft Word Documents Used to Deliver Nim-Based Malware
  _{info@thehackernews.com (The Hacker News)}

트위터 광고 채널 악용, 암호화폐 절도 악성코드

트위터 광고를 통해 암호화폐 절취^{(Crypto drainer)} 악성코드를 유포한 것이 확인되었다. 이 악성코드는 약 63,000명의 피해자로부터 5,900만 달러를 훔친 것으로 보인다. 악성코드에 감염되면, 피해자의 암호화폐 지갑에 있는 자금을 모두 훔칠 수 있다. 암호화폐의 유명세를 악용해 가짜 악성 프로그램을 다운로드 하도록 유인하는 것으로 확인되었다.

• Crypto drainer steals $59 million from 63k people in Twitter ad push
  _{Bill Toulas (BleepingComputer)}

WinRAR 취약점 공격, LONEPAGE 악성코드

우크라이나의 기업들이 WinRAR 취약점을 악용하는 공격을 받고 있다. 이 사이버 공격 캠페인은 LONEPAGE 악성코드를 유포하는데 WinRAR 취약점을 이용하고있다. 초기 접근 및 영구화, 데이터 추출을 위해 다양하고 정교한 여러 기술들이 사용된 정황으로 비추어 특정 국가의 지원을 받는 사이버 공격의 일부로 추정된다.

• UAC-0099 Using WinRAR Exploit to Target Ukrainian Firms with LONEPAGE Malware
  _{info@thehackernews.com (The Hacker News)}

폰트 파일 위장 FalseFont 백도어, 국방 부문 표적 공격

마이크로소프트가 국방 영역을 공격 대상으로 하는 새로운 FalseFont 백도어에 대해 경고했다. 이 악성코드는 폰트 파일로 위장해 보안 시스템을 우회하고 탐지되는 것을 회피한다. 이 악성코드 또한 높은 수준의 복잡성을 보이는 특징과, 국방 부문을 표적으로 삼고있어 특정 국가의 지원을 받는 사이버 공격으로 추정된다.

• Microsoft Warns of New ‘FalseFont’ Backdoor Targeting the Defense Sector
  _{info@thehackernews.com (The Hacker News)}

이슈 요약

연말이 다가오며 다양한 방법과 다양한 매체로 악성코드를 유포하는 활동이 증가하고 있다. 가짜 워드 파일, 트위터 광고, WinRAR 취약점, 폰트 위장 파일 등 전달 매체가 다양해지고 있으며, 공격의 복잡성 및 악성여부 탐지를 피하기 위한 기법들의 수준 또한 높아지고있다. 악성코드 유포 및 탐지 회피 등 기술의 복잡성과 특정 영역을 대상으로 하는 특징으로 비추어, 국가 수준의 지원을 받는 세력들의 사이버 공격이 이루어지고 있는 것으로 추정된다.