피싱 캠페인에 악용된 MS Exchange 서버

새로운 캠페인이 IcedID 뱅킹 트로이 목마 를 적극적으로 퍼뜨리고 있습니다. 이번에는 위협 행위자가 악성 코드를 확산시키기 위해 이전에 손상시킨 Microsoft Exchange 서버를 사용하고 있습니다.

캠페인은 피싱 이메일을 사용하고 있습니다. 피싱 이메일은 유효하고 신뢰할 수 있는 출처에서 온 것처럼 위장하여 성공적인 감염으로 전송된 이메일의 전환율을 향상시킵니다.

해커는 새로운 회피 방법을 시도합니다.

현재 캠페인은 보안 회사 Intezer의 연구원 팀에 의해 발견되었습니다. 표면적으로는 캠페인 배후의 해커들이 극적으로 혁신적인 일을 하고 있지 않은 것 같습니다. 이전의 피싱 캠페인은 이전에 손상된 이메일 계정을 사용하여 피싱 메일을 보내어 메시지에 잘못된 합법성을 추가했습니다.

그러나 이번에는 궁극적인 트로이 목마 페이로드 를 대상에 성공적으로 전달할 수 있는 새로운 회피 전술을 추가했습니다.

해커는 Microsoft Exchange 메일 서버를 사용하여 피싱 메일을 보내 악성 이메일을 퍼뜨리고 있습니다. 그러나 실제 페이로드와 관련하여 추가 회피 계층도 사용하고 있습니다.

예를 들어 MS Office 파일에 악성 매크로를 숨기고 피싱 캠페인과 같이 오피스 문서에 악성 콘텐츠를 넣는 대신 이제 해커는 아카이브 파일과 디스크 이미지를 사용하는 방향으로 이동했습니다. 이를 통해 MS Office와 Windows 모두에서 "Mark-of-the-web" 또는 MOTW라고 하는 통합 보호 메커니즘을 우회할 수 있습니다. MOTW에는 Office 응용 프로그램에서 보호된 보기로 파일을 여는 것을 포함하여 웹에서 다운로드한 파일과 관련하여 특정 예방 조치가 포함되어 있습니다.

그러나 아카이브 파일과 .iso 디스크 이미지를 사용하면 해커가 이 보호 계층을 우회할 수 있습니다. 이러한 파일 유형은 MOTW로 플래그가 지정되지만 그 안에 포함된 파일은 그렇지 않을 수 있습니다.

IcedID를 퍼뜨리는 데 사용되는 피싱 이메일은 "스레드 하이재킹"이라고 불리는 것을 사용합니다. 이는 피해자와 손상된 계정 간의 기존 통신 체인 이메일을 사용하는 것입니다. 이것은 미끼에 추가적인 신뢰를 줍니다.

페이로드가 배포되면 평소와 같이 비즈니스

이메일에는 비밀번호로 보호된 아카이브 파일이 첨부되어 있습니다. 비밀번호는 이메일에 편리하게 있습니다. 아카이브에는 .iso 디스크 이미지 파일이 포함되어 있으며 이 파일에는 main.dll 파일과 바로 가기 document.lnk 파일이 포함되어 있습니다. "문서"를 열려고 하면 시스템을 손상시키기 위해 main.dll 파일을 사용하여 피해자의 시스템에 페이로드가 배포됩니다.

공격 체인의 진화와 함께 유사한 위협으로부터 안전하게 유지하는 것은 강력한 보안 프로토콜뿐만 아니라 개인 인식과 중대한 인적 오류 방지에 달려 있습니다.