Skip to content

마이크로소프트가 긴급 오피스 패치를 발표했다. 러시아 국가 해커들이 습격합니다.

Posted in tech

러시아 해커들이 6개 이상 국가의 외교, 해양, 교통 기관 내부의 장치를 손상시킬 수 있는 중요한 Microsoft Office 취약점을 악용하는 데 시간을 낭비하지 않았다고 연구원들이 수요일 밝혔습니다.

연구원들은 APT28, Fancy Bear, Sednit, Forest Blizzard, Sofacy 등의 이름으로 추적된 위협 그룹이 CVE-2026-21509로 추적되는 이 취약점을 공격했다고 밝혔습니다. 이는 Microsoft가 지난달 말 예정되지 않은 긴급 보안 업데이트를 발표한 지 48시간도 채 되지 않은 시점이었습니다. 패치를 리버스 엔지니어링한 후 그룹 구성원은 이전에 볼 수 없었던 두 개의 백도어 이식 중 하나를 설치하는 고급 공격을 작성했습니다.

은밀함, 속도, 정확성

전체 캠페인은 엔드포인트 보호가 손상을 감지하지 못하도록 설계되었습니다. 새로운 것 외에도 익스플로잇과 페이로드는 암호화되어 메모리에서 실행되므로 악의를 발견하기가 어렵습니다. 초기 감염 벡터는 이전에 손상된 여러 국가의 정부 계정에서 나 왔으며 대상 이메일 보유자에게 친숙했을 가능성이 높습니다. 명령 및 제어 채널은 일반적으로 민감한 네트워크 내에서 허용되는 합법적인 클라우드 서비스에서 호스팅되었습니다.

보안 회사인 Trellix와 함께 연구원들은 “CVE-2026-21509의 사용은 국가가 지원하는 행위자가 얼마나 빨리 새로운 취약점을 무기화하여 방어자가 중요한 시스템을 패치할 수 있는 기간을 단축할 수 있는지를 보여줍니다.”라고 썼습니다. “초기 피싱부터 메모리 내 백도어, 보조 임플란트에 이르기까지 캠페인의 모듈식 감염 체인은 신뢰할 수 있는 채널(HTTPS에서 클라우드 서비스, 합법적인 이메일 흐름)과 파일리스 기술을 활용하여 눈에 잘 띄지 않게 숨길 수 있도록 신중하게 설계되었습니다.”

72시간 동안 진행된 스피어 피싱 캠페인은 1월 28일에 시작되었으며 주로 동유럽을 중심으로 9개국의 조직에 최소 29개의 서로 다른 이메일 미끼를 전달했습니다. Trellix는 그 중 폴란드, 슬로베니아, 터키, 그리스, UAE, 우크라이나, 루마니아, 볼리비아 등 8개 국가를 지정했습니다. 대상 조직은 국방부(40%), 운송/물류 사업자(35%), 외교 기관(25%)이었습니다.

관련 기사

Be First to Comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다