Quantum Builder

사이버 보안 연구원들은 위협 행위자가 무기화된 .lnk 파일을 생성할 수 있도록 하는 Quantum Builder(Quantum Software)라는 강력하고 위협적인 도구에 대해 밝혀냈습니다. LNK는 손상된 코드를 전달할 수 있는 Windows 시스템의 바로 가기 파일입니다. 위협 행위자는 이를 악용하여 침해된 시스템에서 발견된 PowerShell 또는 MSHTA(Microsoft HTML 애플리케이션 파일 실행에 사용)와 같은 합법적인 도구를 악용할 수 있습니다.

Quantum Builder에 대한 자세한 내용은 연구원들이 발표한 보고서에서 발표되었습니다. 그들은 잠재적인 위협 행위자에게 판매를 위해 제안된 위협을 발견했습니다. 가격은 월 189유로, 2개월 335유로, 6개월 899유로로 책정됐다. 평생 액세스하려면 잠재적인 범죄자가 1,500유로를 한 번만 지불해야 합니다. 빌더는 손상된 LNK 생성을 용이하게 하는 그래픽 인터페이스와 광범위한 옵션 및 매개변수 세트와 함께 제공됩니다.

또한 Quantum은 완전히 감지할 수 없는 것으로 광고됩니다. 즉, 맬웨어 방지 엔진이나 사이버 보안 보호 메커니즘이 Quantum을 잠재적으로 의심스럽거나 완전히 위협적인 것으로 표시할 수 없습니다. 또한 Windows UAC(사용자 계정 컨트롤)와 Windows Smartscreen을 우회할 수 있습니다. 이 위협 요소는 단일 LNK 파일을 사용하여 위협적인 여러 페이로드를 로드하는 기능도 있습니다. LNK 외에도 Quantum Builder를 사용하면 위협 행위자가 HTA 파일과 ISO 아카이브를 생성할 수 있으며, 이는 종종 디스크 이미지 내부의 모든 유해한 구성 요소를 패키징하는 수단으로 사용됩니다.

연구원들은 Quantum Builder의 또 다른 특징을 발견했습니다. 분명히 위협은 잠재적으로 공격자가 dogwalk n-day 익스플로잇을 통해 임의 코드 실행을 수행하도록 허용할 수 있습니다. 이 취약점은 MSDT(Microsoft 지원 진단 도구)에 영향을 줍니다.