lazarusholic

Everyday is lazarus.dayβ

2024년 MSC 악성코드 동향 보고서

2024-11-22, Ahnlab
https://asec.ahnlab.com/ko/84693/
#Kimsuky #MSC #Trend

Contents

2024년 MSC 악성코드 동향 보고서
MSOffice 문서형 악성코드의 유포가 줄어들면서 LNK, CHM 등 다양한 포맷의 악성코드가 대두되고 있다. 올해 2분기에는 Microsoft Management Console(MMC)에서 사용하는 MSC(snap-ins/Management Saved Console) 파일 포맷의 악성코드가 새로 확인되었다. MSC 파일은 XML 기반의 포맷으로, 스크립트 코드 및 커맨드 명령 실행 또는 프로그램 실행 등 다양한 작업을 등록하여 실행할 수 있다. 자사에서 확인된 MSC 포맷의 악성코드는 apds.dll에 존재하는 취약점(CVE-2024-43572)을 이용한 유형과 MMC Console Taskpad를 통해 커맨드 라인을 실행하는 유형이 있다.
2024년 10월까지 확인된 MSC 포맷 악성코드의 유포 현황은 다음과 같다.
※ 그래프의 값은 0에서 5 구간을 가지며, 수치가 높을수록 악성코드가 많이 배포되는 것으로 해석할 수 있다.
Figure 1. MSC 포맷 악성코드 유포 현황
공격자는 사용자가 악성코드를 의심없이 실행할 수 있도록 생소한 포맷의 악성코드를 유포하고 있는 것으로 보인다. 일반 사용자는 MSC 파일의 정확한 쓰임새나 동작 방식을 유추하기 어려울 뿐만 아니라, 더블 클릭 만으로도 손쉽게 실행될 수 있는 특징이 있어 유포가 지속될 것으로 예측된다.
- 유형1
해당 유형은 apds.dll에 존재하는 취약점(CVE-2024-43572)을 통해 악성 페이로드를 실행한다. 파일의 아이콘을 …