북한, 이란, 러시아, 중국 등 국가가 지원하는 해킹 그룹 11개 이상이 2017년부터 데이터 유출과 사이버 스파이 제로데이 공격에서 새로운 Windows 취약점을 악용을 해왔습니다.
Trend Micro의 Zero Day Initiative(ZDI) 소속 보안 연구원인 Peter Girnus와 Aliakbar Zahravi가 오늘 보고한 바로는, Microsoft는 9월 말에 이를 서비스 기준을 충족하지 못한다고 표시했으며 이를 해결하기 위한 보안 업데이트를 출시하지 않을 것이라고 밝힘
악의적인 행위자가 조작된 Windows 바로 가기나 셸 링크(.LNK) 파일을 활용하여 피해자의 컴퓨터에서 숨겨진 악성 명령을 실행할 수 있는 문제입니다.
탐지를 회피하려고 인수에 공백(0x20), 수평 탭(0x09), 줄 바꿈(0x0A), 수직 탭(\x0B),폼 피드(\x0C), 캐리지 리턴(0x0D) 등의 공백 문자를 채우는 방식을 사용했습니다.
ZDI-CAN-25373을 악용한 .LNK 파일 아티팩트가 1,000개 가까이 발견되었으며, 대부분 샘플이 Evil Corp(Water Asena),Kimsuky(Earth Kumiho),Konni(Earth Imp),Bitter(Earth Anansi),ScarCruft(Earth Manticore)
결함을 남용하는 것으로 밝혀진 11개의 국가 지원 위협 행위자 중 거의 절반이 북한 입니다.
미국, 캐나다, 러시아, 한국, 베트남, 브라질 등의 정부, 민간 기업, 금융 기관,싱크탱크,통신 서비스 제공업체, 군사, 방위 기관이 이러한 취약점을 악용하는 공격의 주요 대상입니다.
.LNK 파일은 Lumma Stealer, GuLoader, Remcos RAT 등과 같은 알려진 맬웨어 패밀리의 전달 수단 역할을 했으며 Microsoft에서는 해당 문제를 심각도가 낮은 것으로 분류했지만, 패치는 제공하지 않는다고 합니다.
공격의 70%가 간첩 및 정보 도용과 관련이 있었고 금전적 이득은 20%에 불과
참고로 Microsoft Defender는 이 위협 활동을 탐지하고 차단하기 위한 탐지 기능을 갖추고 있으며 Smart App Control은 인터넷에서 악성 파일을 차단하여 추가적인 보호 계층을 제공합니다.
아무튼, 항상 조심하세요. 그리고 일하는 세포하고 김수키 하고 관계없어요.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 김수키(Kimsuky)에서 만든 악성 백도어 VBS 스크립트-vbs.html(2025.3.16) (0) | 2025.03.19 |
|---|---|
| 김수키(Kimsuky) 에서 만든 파워셀 악성코드-1.ps1(<-가칭 2025.3.13) (0) | 2025.03.17 |
| 북한 해킹 그룹 Konni(코니)에서 만든 사이버범죄 신고시스템 사칭 악성코드-ECRM.hwp.lnk(2025.3.11) (0) | 2025.03.14 |
| 윈도우 11 24H2 업데이트 이후 AutoCAD 2022 실행 안되는 문제 (0) | 2025.03.13 |
| 윈도우 10,윈도우 11 KB5053606,KB5053598 & KB5053602 보안 업데이트 (0) | 2025.03.12 |
| 김수키(Kimsuky) 에서 만든 악성코드-2025-03-05임x철대표님께드리는글.pdf.lnk(2025.3.6) (0) | 2025.03.10 |
| 북한 해킹 단체 코니(Konni) 에서 만든 악성코드-2024년 귀속 연말정산 안내문_세한.docx(2025.2.28) (0) | 2025.03.07 |
| 파이어폭스 136(Firefox 136) 보안 업데이트 (0) | 2025.03.07 |
