728x90
FormBook이라는 새로운 멀웨어가 미국과 한국의 항공사, 방위 산업체를 표적으로 삼고있다. FireEye의 연구원에 따르면 FormBook은 악성 PDF, DOC 또는 XLS 첨부 파일이 포함된 전자 메일에서 발견되었다. 한국을 대상으로 하는 FormBook은 실행 가능한 페이로드가 있는 악의적인 아카이브 파일 (ZIP, RAR, ACE 및 ISO)이 들어있는 전자 메일을 사용자에게 보냄으로써 공격하고 있다. FormBook은 데이터 도용 멀웨어 유형으로 키 입력 로깅, 클립 보드 내용 도용 및 HTTP 세션에서의 데이터 추출이 가능하다. 일단 설치되면 맬웨어는 맬웨어에 더 많은 파일 다운로드, 프로세스 시작, 시스템 종료 및 재부팅, 쿠키 및 로컬 암호 훔치기와 같은 명령 및 제어 (C2) 서버의 명령을 실행할 수 있다. "맬웨어의 기능 중 하나는 Windows의 ntdll.dll 모듈을 디스크에서 메모리로 읽어 들이고 내보낸 기능을 직접 호출하여, 사용자 모드 연결 및 API 모니터링 메커니즘을 효과적으로 렌더링하지 못하게 하는 것이다."라고 FireEye는 발표했다. FormBook 페이로드는 자동 압축 해제 RAR 파일을 통해 전달된다. 자동 압축 해제 RAR 파일을 실행하면 AutoIt 로더가 시작되고 AutoIt 로더가 AutoIt 스크립트를 컴파일하고 실행하는 방식이다. 이 스크립트는 FormBook 페이로드 파일을 해독하고 메모리에 로드한 다음 실행되는 것으로 보인다.
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 악성코드 FormBook, 항공우주산업 침투 (0) | 2017.10.12 |
|---|---|
| ATM 만 대상으로하는 ATMii 악성코드 (0) | 2017.10.11 |
| 애플 High Sierra 암호 힌트 유출 취약점 긴급 패치(CVE-2017-7149) (0) | 2017.10.10 |
| 아파치 톰캣 패치 (0) | 2017.10.10 |
| 안드로이드 10월 보안 업데이트 (0) | 2017.10.09 |