Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향FIN7 해커는 Windows 11 테마 문서를 사용하여 Javascript 백도어를 제거
작성일 2021-09-03 조회 37

Microsoft Windows 11

 

 

최근 스피어 피싱 캠페인은 미국에 위치한 POS(Point-of-Sale) 서비스 제공업체를 대상으로 Visual Basic 매크로와 함께 무기화된 Windows 11 Alpha 테마 Word 문서를 활용하여 악성 페이로드 드롭한다. 이러한 페이로드에는 JavaScript 코드가 포함되어 있다.


사이버 보안 회사인 Anomali의 연구원에 따르면 2021년 6월 말에서 7월 말 사이에 발생한 것으로 추정되는 공격은 금전을 노린 위협 행위자 FIN7에 의한 것으로 보인다.


아노말리 위협 리서치(Anomali Threat Research)는 9월 2일 발표된 기술 분석에서 "Clearmind 도메인의 지정된 타겟팅은 FIN7이 선호하는 운영 방식과 잘 맞다. 적어도 2018년부터 이 그룹의 목표는 FIN7에서 사용된 JavaScript 백도어의 변형을 제공하는 것으로 보인다."


최소한 2015년 중반부터 활동한 동유럽 그룹인 FIN7은 미국의 레스토랑, 도박 및 호스피탈리티 산업을 표적으로 삼아 신용 카드 및 직불 카드 번호와 같은 금융 정보를 약탈한 후 사용 혹은 판매한 파란만장한 이력이 있다.


연초부터 집단의 여러 구성원이 다른 캠페인에서 투옥되었지만, FIN7의 활동은 유사한 TTP를 감안할 때 Carbanak이라는 다른 그룹과 연결되어 있다. 주요 차이점은 FIN7이 호스피탈리티 및 소매 부문에 중점을 둔 반면 Carbanak은 은행 기관에 중점을 둔다는 것이다.


Anomali가 관찰한 최신 공격에서 감염은 Windows 11 Alpha에서 만들어진 것으로 알려진 디코이 이미지가 포함된 Microsoft Word maldoc으로 시작되어 수신자가 매크로를 활성화하여 다음 활동 단계를 트리거할 수 있도록 촉구한다. 여기서 다음 활동 단계는 JavaScript 페이로드를 검색하기 위해 난독화된 VBA 매크로를 실행시키는 것과 관련된다. 이는 FIN7에서 사용하는 다른 백도어와 유사한 기능을 공유하는 것으로 밝혀졌다.


코드를 정크 데이터로 채워 분석을 방해하기 위해 여러 단계를 수행하는 것 외에도 VB 스크립트는 VirtualBox 및 VMWare와 같은 가상화된 환경에서 실행 중인지 확인하고, 그렇다면 자체적으로 종료한다. 또한, 러시아어, 우크라이나어 또는 기타 여러 동유럽 언어를 감지할 때, 감염 체인을 중지한다.


연구원들은 "FIN7은 수많은 기술과 공격 표면을 통해 훔친 방대한 양의 민감한 데이터를 통해 금전적 이득을 얻으려는 가장 악명 높은 그룹 중 하나이다. 그룹 내 고위 간부로 의심되는 사람들을 포함하여 세간의 이목을 끄는 체포와 선고에도 불구하고 이 그룹은 그 어느 때보다 활발하게 활동하고 있다."라고 말했다.

 

 

 

 


출처
https://thehackernews.com/2021/09/fin7-hackers-using-windows-11-themed.html

첨부파일 첨부파일이 없습니다.
태그 Windows11  FIN7  Carbanak