Agent Tesla 악용, MS Office 취약점 노출, 텍스트 파일 및 HTML 피싱 공격 등 최근 기승을 부리는 사이버 위협에 대한 분석 보고서입니다. 시큐레터 MARS를 활용한 분석 결과를 바탕으로 효과적인 대응 방안을 제시하며, 특히 Agent Tesla 감염 시 발생할 수 있는 피해와 예방 방안에 대해 자세히 설명합니다.

MS Office는 전 세계적으로 사용자가 많은 대중적인 프로그램인 만큼 공격자들이 취약점 공격에 자주 이용한다. 대부분의 취약점 공격은 조작한 MS Office 파일을 이메일에 첨부하여 열람을 유도하거나 웹페이지에 게시한 후 사용자 방문을 유도해 미리 심어 놓은 원격코드가 실행되도록 하는 방식이다.

최근 MS Word의 취약점을 노리는 사이버 공격이 잇따르고 있다. 사용자가 자주 접속하는 사이트를 이용한 워터링홀 기법, 악성문서를 첨부하여 감염시키는 스피어피싱 이메일을 통해 악성코드를 유포시키는 등 다양한 수법을 구사하고 있다.

최근 사이버 공격은 기업의 보안 시스템 중 가장 약한 부분을 찾아내도록 공격 대상에 맞춰 고도화되고있다. 공격자는 업무 문서로 위장한 악성 이메일을 임직원들에게 배포하고 무심코 이를 클릭한 사용자를 통해 로그인 계정을 탈취한다. 탈취한 계정 정보를 통해 내부망에 접속한 뒤 별다른 제약없이 영업정보 시스템에 접속하거나 고객 정보, 회사 기밀 등이 보관된 데이터 저장소에도 쉽게 접근할 수 있어 이러한 공격은 가장 많이 사용되는 공격 기법이다.

지난 2018년 1월 31일 KrCERT/CC 는 Adobe 플래시 플레이어의 제로데이 취약점을 악용한 악성코드 유포와 관련하여 보안 공지를 발표했습니다. 해당 취약점은 플래시 플레이어 28.0.0.161 버전과 이전 버전에 발생하는 Use-After-Free 취약점으로 Primetime SDK의 미디어 플레이어 DrmManager 관련 메소드가 리스너 객체를 처리하는 과정에서 Dangling Pointer가 만들어 집니다. 공격자는 Dangling Pointer를 이용하여 임의의 메모리에 접근하여 데이터를 변조할 수 있습니다.