Microsoft PowerPoint에서 마우스 움직임에 의존하여 악성 Powershell 스크립트를 트리거함으로서 코드를 실행시키는 기법을 개발했다. 우리가 흔히 알던.. 문서를 통해 멀웨어를 전달할 때 사용하는 매크로 기능은 사용하지 않는다.
러시아의 해킹 그룹인 APT28(Fancy Bear)가 Graphite 멀웨어 전달할 때 이 기술을 사용했다.
[공격 흐름]
1) 피해자에게 악성 PPT 파일 전송
2) 해당 파일을 오픈하면 2개의 슬라이드가 존재. #줌 회의에 참여하는 방법 (영어 및 프랑스어 지침)
3) 존재하는 하이퍼링크에 마우스오버 시 Powershell 스크립트 발동
4) DSC0002.jpeg 라는 JPG 파일이 Microsoft OneDrive 계정에서부터 다운로드됨
5) 해당 파일은 연쇄적인 공격을 이어나가며, 최종적으로 Graphite 멀웨어 설치
해당 멀웨어의 목적은 공격자가 다른 멀웨어를 시스템 메모리에 로드할 수 있도록 하는 것. (Graphite는 일종의 로더)
[개인 의견]
생략
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 가상자산거래소 자금세탁방지 불이행.. 최대 1억원이하 과태료 (0) | 2022.09.29 |
|---|---|
| [보안이슈] 오스트레일리아 대표 통신사 Optus, 대규모 개인정보 유출 (0) | 2022.09.28 |
| [보안이슈] 새로운 해킹 그룹 메타도르(Metador) - metaMain과 Mafalda malware (0) | 2022.09.26 |
| [보안이슈] 록빗 3.0 빌더 공개! 랜섬웨어 그룹도 피해갈 수 없는 내부자 위협. (1) | 2022.09.23 |
| [보안이슈] Log4Shell 버금가는, 15년 동안 패치되지 않은 취약점 발견. (0) | 2022.09.22 |
