스네이크키로거, 악성 PDF 타고 인터넷 상에 퍼지고 있어

22년된 취약점 익스플로잇 하는 공격 방식...PDF를 활용한 것도 특이해

요약 : 보안 외신 쓰레트포스트에 의하면 스네이크키로거(Snake Keylogger)라는 멀웨어가 악성 PDF 문서를 이용해 빠르게 번져가고 있다고 한다. 공격자들은 지불/환불과 관련된 가짜 이메일을 피해자들에게 보내는데, 여기에 문제의 악성 PDF 파일이 첨부되어 있다고 한다. 이 PDF 파일 내에는 .docx 파일이 임베드 되어 있고, 피해자가 PDF를 열면 리더에서 ‘MS 워드를 통해 파일을 열라’는 내용의 프롬프트가 뜬다. 이 워드 문서는 열림과 동시에 웹 서버로부터 rtf 문서를 다운로드하는데, 여기에는 악성 링크가 숨겨져 있다. 이 악성 링크를 통해 또 다른 doc 문서가 다운로드 되는데, 여기에는 오래된 취약점을 익스플로잇 하는 셸코드가 포함되어 있다. 이 취약점은 CVE-2017-11882이다.

[이미지 = utoimage]

배경 : CVE-2017-11882는 오피스 앱을 설치하면 자동으로 설치되는 앱인 공식 편집기(Equation Editor)에서 발견된 오래된 취약점이다. 2017년 패치됐을 당시 이미 “17년 동안 패치되지 않은 취약점”으로 분석됐었다. 그러므로 22년 전부터 있었던 취약점을 공격자들이 익스플로잇 하는 것이라고 볼 수 있다.

말말말 : “오피스 워드나 엑셀 문서를 악의적으로 활용하는 사례는 무수히 많은데 의외로 PDF를 피싱 공격에 활용하는 사례는 그리 많지 않습니다. 이번 공격을 통해 공격자들의 무기가 한정되어 있지 않다는 것이 다시 한 번 확인됐습니다.” -HP울프시큐리티(HP Wolf Security)-
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다