Microsoft Office 문서를 위협하는 LokiBot 맬웨어 드롭
중국 APT 공격과 화요일 패치 동안 악용된 제로데이 패치를 포함하여 Microsoft의 중요한 이벤트로 가득 찬 일주일 동안 연구원들은 실행 시 LokiBot 맬웨어를 유포하는 악성 Microsoft Office 문서의 여러 인스턴스를 관찰하는 놀라운 발견을 했습니다. 대상 시스템에. 이 맬웨어는 시스템에 침투하여 잠재적으로 무단 액세스 및 데이터 절도를 유도하여 피해자를 심각하게 위협합니다.
잘 알려진 취약점인 CVE-2021-40444(CVSS 7.8) 및 CVE-2022-30190(CVSS 7.8)을 악용하는 위협적인 Microsoft Office 문서는 악명 높은 LokiBot 맬웨어 침투를 위한 관문이었습니다. 이러한 취약점에 대한 패치가 1년 이상 제공되었음에도 불구하고 공격자는 패치가 적용되지 않은 시스템을 악용했습니다.
목차
로키봇이란?
2015년부터 알려진 오랜 정보 탈취 트로이 목마인 LokiBot은 Windows 플랫폼에 집중하여 손상된 시스템에서 귀중한 데이터를 추출하려고 합니다. 위협 환경에서의 지속적인 존재는 진화하는 사이버 위협을 방어하기 위해 강력한 보안 조치를 유지하는 것이 중요함을 강조합니다.
LokiBot은 유해한 활동을 수행하기 위해 유해한 기술의 조합을 활용합니다. 여러 취약점을 이용하고 VBA(Visual Basic for Applications) 매크로를 사용하여 공격을 시작합니다. 또한 LokiBot은 탐지 및 분석을 회피하는 데 도움이 되는 Visual Basic 인젝터를 통합합니다. 악성코드는 이 인젝터를 활용하여 특정 보안 조치를 우회하여 사용자에게 엄청난 위협이 될 수 있습니다. 이러한 고급 기술을 사용하는 LokiBot의 능력은 강력한 보안 조치를 구현하고 진화하는 사이버 위협에 대해 경계를 유지하는 것이 중요하다는 점을 강조합니다.
주의의 측면에 오류
연구원들은 특히 외부 웹 사이트에 대한 링크가 포함된 Office 문서나 익숙하지 않은 파일을 다룰 때 사용자에게 주의를 기울이고 신중한 접근 방식을 채택할 것을 강력히 권고합니다. 그들은 경계를 유지하고 의심스러운 링크를 클릭하거나 신뢰할 수 없는 소스에서 첨부 파일을 열지 않는 것이 중요하다고 강조합니다. 또한 소프트웨어 및 운영 체제를 최신 보안 패치로 최신 상태로 유지하는 것은 맬웨어 악용의 위험을 완화하는 데 중요합니다.
이러한 알려진 취약점은 최종 사용자를 대상으로 하는 고전적인 사회 공학 기술을 악용하므로 상당한 문제를 야기합니다. 공격자는 의심하지 않거나 부적절하게 보호된 사용자가 첨부 파일을 열기를 바라며 매력적인 첨부 파일에 의존합니다. 이는 사용자가 잠재적인 위협을 인식하고 피할 수 있도록 강력한 사이버 보안 인식 및 교육의 필요성을 강조합니다.
다행스럽게도 Microsoft는 문제를 해결하고 솔루션을 제공하기 위해 선제적인 조치를 취했으며 보안 팀이 엔드포인트 보호 제품을 최신 상태로 유지해야 할 필요성을 강조했습니다.
항상 원격 코드 실행 취약점을 위협 수준과 관련하여 최우선 순위로 취급하는 것이 중요합니다. 침해 지표를 철저히 조사하고 초기 조사를 수행하여 취약점이 영향을 미쳤는지 확인하는 것이 좋습니다. 이러한 선제적 접근 방식을 통해 조직은 잠재적인 영향을 즉시 식별하고 완화할 수 있습니다.
LokiBot을 위한 이 새로운 패키징의 출현은 탐지를 회피하고, 활동을 숨기고, 잠재적으로 민감한 데이터를 손상시킬 수 있는 능력으로 인해 심각한 우려를 불러일으킵니다. 이에 대처하기 위해 조직은 단순히 Microsoft Office 사용을 중단하는 것이 아니라 시스템 보호를 유지하기 위한 조치의 우선순위를 정해야 합니다. 여기에는 패치 및 맬웨어 방지 서명을 정기적으로 업데이트하고 사용자에게 Office 문서를 취급할 때 주의를 기울이도록 교육하는 것이 포함됩니다. 이러한 선제적 조치를 취함으로써 조직은 방어력을 강화하고 피해를 주는 활동의 희생양이 될 위험을 최소화할 수 있습니다.
Microsoft Office 문서를 위협하는 LokiBot 맬웨어 드롭 스크린샷
