암호화폐 기업 제휴 이슈로 가장한 코니(Konni) 해킹 위협 주의!
Contents
암호화폐 기업 제휴 이슈로 가장한 코니(Konni) 해킹 위협 주의!
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
암호화폐 기업 제휴 이슈 내용으로 위장한 해킹 공격이 발견돼 사용자들의 각별한 주의가 필요합니다.
이번에 발견된 악성 파일은 '카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까 [위클리 코인리뷰] - 이코노미스트' 파일명의 워드 문서 파일명으로 유포되었으며, 파일명과 파일 내용은 실제 9월 3일에 공개된 기사를 인용하였습니다.
‘TigerHunter’ 이름을 사용하는 사용자가 2022년 9월 25일 21시 53분(UTC)에 최종적으로 저장한 것으로 보여지며, '원격 템플릿 주입(Remote Template Injection)' 기술을 사용하여 공격자가 미리 설정해 놓은 원격 호스트에 연결하고, 레이아웃, 셋팅 및 매크로 등을 포함하는 문서 템플릿 파일인 dotm 파일을 사용자 시스템에 내려 받습니다.
사용자가 파일을 실행하면 word2022[.]c1.biz로 접속하여 template.dotm 파일을 다운로드 합니다. 해당 파일은 본문의 폰트 색깔을 흰색에서 검은색으로 변경하는 설정과 함께 사용자 정보를 유출하는 매크로가 포함되어 있습니다.
공격자는 본문 텍스트 색깔을 흰색으로 바꿔 보여줌으로써 사용자의 호기심을 유발하여 [콘텐츠 사용] 기능을 활성화 하도록 유도합니다.
사용자가 [콘텐츠 사용] 버튼을 눌러 매크로 실행을 허용한다면, 원격 템플릿 주입 기술을 통해 다운로드 된 DOTM 파일이 템플릿 문서에 적용되며 …
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
암호화폐 기업 제휴 이슈 내용으로 위장한 해킹 공격이 발견돼 사용자들의 각별한 주의가 필요합니다.
이번에 발견된 악성 파일은 '카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까 [위클리 코인리뷰] - 이코노미스트' 파일명의 워드 문서 파일명으로 유포되었으며, 파일명과 파일 내용은 실제 9월 3일에 공개된 기사를 인용하였습니다.
‘TigerHunter’ 이름을 사용하는 사용자가 2022년 9월 25일 21시 53분(UTC)에 최종적으로 저장한 것으로 보여지며, '원격 템플릿 주입(Remote Template Injection)' 기술을 사용하여 공격자가 미리 설정해 놓은 원격 호스트에 연결하고, 레이아웃, 셋팅 및 매크로 등을 포함하는 문서 템플릿 파일인 dotm 파일을 사용자 시스템에 내려 받습니다.
사용자가 파일을 실행하면 word2022[.]c1.biz로 접속하여 template.dotm 파일을 다운로드 합니다. 해당 파일은 본문의 폰트 색깔을 흰색에서 검은색으로 변경하는 설정과 함께 사용자 정보를 유출하는 매크로가 포함되어 있습니다.
공격자는 본문 텍스트 색깔을 흰색으로 바꿔 보여줌으로써 사용자의 호기심을 유발하여 [콘텐츠 사용] 기능을 활성화 하도록 유도합니다.
사용자가 [콘텐츠 사용] 버튼을 눌러 매크로 실행을 허용한다면, 원격 템플릿 주입 기술을 통해 다운로드 된 DOTM 파일이 템플릿 문서에 적용되며 …
IoC
http://word2022.c1.biz