728x90
반응형
내용 요약
러시아 정부 지원 해킹 조직 APT28이 마이크로소프트 아웃룩을 악용해 새 백도어 NotDoor를 배포했습니다. 이 백도어는 특정 키워드가 포함된 이메일을 감지해 활성화되며, 명령 실행·파일 탈취·업로드 등 다양한 공격 기능을 수행합니다. 2025년 9월, 스페인 보안업체 S2 Grupo의 LAB52가 최초 분석을 공개했습니다.
핵심 포인트
- NotDoor: 아웃룩 이메일을 통해 전파되는 독자형 백도어
- 키워드 트리거: 특정 문자열이 포함된 메일이 감지되면 자동 실행
- 다양한 기능: 원격 명령 실행, 파일 탈취, 파일 업로드 등 공격 범위 확대
기술 세부 내용
1️⃣ NotDoor 백도어
- 전파 방식: 마이크로소프트 아웃룩의 스팸 필터를 우회, 정상 메일 첨부 파일 형태로 삽입
- 감지 방지: 메일 본문에 숨겨진 키워드(예:
CONFIDENTIAL,ATTACH)가 감지되면 DLL이 로드돼 실행 - 정상 동작 시뮬레이션: 메일 열 때 자동으로 백그라운드에서 프로세스가 생성되고, 악성 명령을 숨김
2️⃣ 키워드 기반 트리거 메커니즘
- 트리거 키워드: 공격자가 사전에 정의한 문자열을 메일 본문에 삽입
- 정규표현식 매칭: 메일 파서가 정규식으로 매칭 후 실행 여부 결정
- 실행 흐름
- 메일 열림 → 메일 내용 파싱
- 키워드 매칭 →
init()함수 호출 - 백그라운드 스레드 생성 →
payload()실행
3️⃣ 기능 및 공격 단계
| 단계 | 기능 | 설명 |
|---|---|---|
| ① | 명령 실행 | C&C 서버와의 통신을 통해 수신된 쉘 명령을 로컬에서 실행 |
| ② | 파일 탈취 | 지정 경로(예: C:\Users\*\.docx)의 파일을 압축해 전송 |
| ③ | 파일 업로드 | 외부 서버에 파일을 업로드하거나 내부 파일을 재배포 |
| ④ | 은폐 | 프로세스 명칭을 outlook.exe로 변경, 이벤트 로그 삭제 |
4️⃣ APT28 및 NATO 목표
- APT28: 러시아 정부와 연계된 정교한 공격 기구, 이전에도 소셜 엔지니어링과 스파이웨어를 활용해 NATO 국가를 표적으로 삼음
- 목표 산업: 방위산업, 정부기관, 금융기관 등 민감 데이터 보유 기업
- 공격 영향: 내부 데이터 유출, 시스템 파괴 가능성, 장기적으로 조직 신뢰도 저하
보안 팁
- 아웃룩 이메일을 열기 전, 첨부 파일의 MIME 타입과 보안 서명 검증 필수
- 의심스러운 키워드가 포함된 메일은 자동 차단 정책 적용
- 내부 직원 교육으로 소셜 엔지니어링 인지도를 높이세요
참고: 분석 자료는 LAB52의 2025년 9월 발표를 기반으로 작성되었습니다. 최신 패치와 보안 설정을 즉시 적용해 주세요.
출처: https://www.dailysecu.com/news/articleView.html?idxno=200105
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [데일리시큐]사이트코어 제로데이 취약점 CVE-2025-53690, 전 세계에서 사이버공격에 악용…주의 (0) | 2025.09.06 |
|---|---|
| [데일리시큐]재규어 랜드로버, 대규모 사이버 공격으로 공장 가동 중단…‘스캐터드 라프서스 헌터스’ 조직 소행 (0) | 2025.09.05 |
| [보안뉴스]국산 AI반도체 탑재된 경찰 스마트 헬멧, 수배자 찾아낸다 (0) | 2025.09.05 |
| [KRCERT]Django 제품 보안 업데이트 권고 (0) | 2025.09.05 |
| [KRCERT]TP-Link 제품 보안 업데이트 권고 (0) | 2025.09.05 |