공격자가 ExcelIQY파일을 사용하여 바이러스 백신을 회피하고 맬웨어 다운로드
보안 연구원들은 피해자들을 감염시키기 위한 새로운 접근법을 사용한 새로운 스팸 메일 캠페인을 발견했다. 사용자들은 속여서 Excel을 통해 악의적인 스크립트를 다운로드하고 실행했다.
Burkly의 블로그 게시물에 따르면, Word문서나 자주 사용되는 다른 첨부 파일 유형을 사용하는 대신에 이러한 새로운 스팸 전자 메일 캠페인에서 .iqy 파일을 사용하고 있습니다.
이 접근 방식은 바이러스 백신 소프트웨어를 우회하고 Flawed고 원격 데스크 톱 소프트웨어 AmmiyAdmin의 누출된 소스 코드를 기반으로 하는 Flawed고 Ammiy라는 원격 액세스 트로이 목마를 설치합니다. 이 RAT를 사용하면 공격자가 감염된 컴퓨터에 완전히 액세스 할 수 있습니다.
FlawedeayRAT파일을 distributingy 파일을 통해 배포하는 botnet중에는 Necurs라고 잘못 말했다. 연구원들은 올해 5월 25일에 .iqy 파일을 활용하는 스팸 메일의 첫번째 물결이 발송됨에 따라 이것이@dvs3dvk에 의해 처음 확인되었다고 말했다. 뒤이어 6월 5일에 더 작은 현상이 감지되었다. 세번째 Necurs캠페인이 6월 7일에 발견되었다.
" 이러한 캠페인에 사용된 이메일은 실제로 집에 쓸 수 있는 것이 아닙니다. 이는 기본적으로 우리가 기대하는 일반적인 스팸 메시지 유형입니다. "
이 파일들이 열리면 안에 포함된 URL에서 데이터를 끌어 오려고 합니다. Excel은 해당 URL에서 데이터를 가져오려고 시도합니다. 이 경우 PowerShell스크립트가 됩니다.
다행히 MicrosoftOffice는 기본적으로 외부 콘텐츠를 차단하도록 구성되어 있으므로 Excel을 시작하면 사용자에게 경고 메시지가 표시됩니다. 그러나 항상 피해자가 매크로를 실행할 수 있는 가능성이 있습니다. 사용할 수 있도록 설정되면. exe파일이 무료로 PowerShell스크립트를 다운로드할 수 있습니다. 피해자가 응답해야 할 다른 메시지가 있지만 피해자가 이를 허용하면 공격은 계속해서FlawedeayAmmiyRAT를 실행합니다.
SANSInstitute의 연구 개발 책임자인 JamesLyne은 SCMediaUK에 여러 제어 장치, 특히 새로운 변형을 처리하기 위해 일반적으로 또는 런타임에 작동하는 여러가지 제어 장치로 보안을 계층화했습니다.
"최적의 감지 수준 이하로 이러한 사실을 공개한 공급 업체들이 정책과 제품을 신속하게 업데이트할 것으로 기대할 수 있습니다."라고 그는 말했습니다.
"조직에서는 이러한 파일에 대한 요구 사항이 없는 경우 이들 파일을 유형별로 전략적으로 차단하고자 할 수 있습니다."
SentinelOne의 솔루션 엔지니어인 Niall셰필드는 SCMediaUK에 이번 공격은 악성 행위자들이 기존 AV솔루션을 우회하기 위해 사용하는 공격 방법을 나타내는 것이라고 말했습니다. "AV는 스캔하거나 상호 작용할 수 없는 흔하게 잊혀진 파일 형식을 찾아 메모리 기반 페이 로드를 제공하기 위해 이를 이용하여 결과를 얻습니다."라고 그가 말했습니다.
Sophos의 선임 기술 전문가인 PaulDucklin은 "IQY파일 확장이 스팸에서는 새로울 수 있지만 사이버 공격은 새로운 것이 아닙니다."라고 말했다. "제대로 된 안티 바이러스 프로그램은 전자 메일이나 웹 사이트에 있는 중독성 있는 링크 등의 보안 기능을 통해 위협 요소를 몰래 파악하는 방법에 따라 달라지지 않습니다."
출처 : scmagazine.com
