- 자신을 Windows 11 Alpha로 만든 것으로 마스킹하는 새로운 Microsoft 맬웨어 문서가 있습니다.
- 악성 문서는 VBA 매크로를 악용하여 시스템에 성공적으로 침투합니다.
- FIN7 그룹은 유사한 사례의 이전 기록을 고려할 때 이 공격의 배후로 의심됩니다.
Microsoft 사용자는 한 가지 더 걱정해야 할 사항이 있습니다. 보안 리서치 회사가 새로운 Microsoft Word 문서 악성코드를 발견했습니다. maldoc은 Windows 11 Alpha에서 작성된 문서로 스스로를 가립니다. Anomali Threat Research는 6개의 유사한 악성 맬웨어를 발견했으며 Microsoft가 상황을 파악하려고 할 때 사용자에게 주의를 기울여야 한다고 경고합니다.
Microsoft는 최근 과거에 공격자가 익숙하고 일반적으로 사용되는 생산성 도구로 가장 공격을 시작합니다. 발견된 악성코드 문서의 이름은 "Users-Progress-072021-1.doc"입니다.
공격은 6월 말에 발생
Anomali에 따르면 공격은 6월 말에 발생하여 7월 말에 종료된 것으로 보입니다. 이 회사는 FIN7 그룹이 이 공격의 배후에 있으며 주요 목표는 2018년부터 시도해온 백도어를 통해 Javascript의 변형을 전달하는 것이라고 확인합니다. FIN7은 2013년 이후 가장 오래 지속된 사이버 공격 그룹으로 간주됩니다.
감염 사슬은 Windows 11 Alpha로 만든 것으로 가장한 이미지에서 처음 시작되었습니다. 이미지는 사용자에게 다음 단계를 위해 '콘텐츠 활성화' 또는 '편집 활성화'를 지시했습니다.
라는 이름의 트위터 사용자 닌자 오퍼레이터 뉴스가 나왔을 때 FIN7이 공격의 배후에 있었는지 질문하기 위해 Twitter로 이동했습니다.
그게 너야? #FIN7https://t.co/54VUmf21Pn
— 니코 K(@NinjaOperator) 2021년 9월 3일
사용자는 문서 표지의 지침을 사용하여 유인됩니다.
멀웨어 문서는 Visual Basic for Application 매크로를 사용하고 있습니다. 성공하면 자바스크립트 페이로드가 삭제됩니다. 매크로는 사용자가 표지에 나와 있는 대로 '편집 활성화' 또는 '콘텐츠 활성화'와 같은 기본 기능을 수행할 때 실행됩니다.
익숙한 사용자 Windows 11 빌드 및 변형 공격을 받을 가능성은 적지만 다른 사람들은 이 속임수에 빠져 파일을 실행할 수 있습니다.
맬웨어 문서는 다음과 같은 여러 검사를 수행할 수 있습니다.
- 기억 용량
- 언어
- VM 확인
- 클리어 마인드 체크
CLEARMIND는 POS 서비스 제공자를 위한 도메인입니다. FIN7은 이러한 도메인을 대상으로 하여 대규모 데이터에 액세스하는 것으로 알려져 있습니다.
이 그룹은 공격을 끝내기 위한 조치에도 불구하고 계속해서 활동하고 있습니다. 사용자는 모든 파일에 대해 각별한 주의를 기울여야 합니다.
최근에 악성코드 공격을 받은 적이 있습니까? 아래 댓글 섹션에서 도움이 된 팁을 공유하세요.
