2017년도에 공개된 MS Office 관련 취약점인 CVE-2017-11882 취약점이 최근 다시 사용되는 중인 것으로 보여진다.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11882
CVE - CVE-2017-11882
Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, and Microsoft Office 2016 allow an attacker to run arbitrary code in the context of the current user by failing to properly handle objects in
cve.mitre.org
아래 이벤트들에서 모두 공격에 사용된 것이 자체 MISP 에서 확인되었다.
- TA558 그룹의 러시아/벨라루스에 대한 스테가노그래피를 이용한 공격
SecuriTricks - Attack Report
fda7e2d7a3ee70355988afc70ee4d6ebf08b76ef38f4504aa1cf5f8fa9a99b2e eecb89aaf97fa8333c2c56c16e3905b2b2764271d7f7944bc71a8aba64d2906c ea17ccf4bf55f23b8a93f8e17e470be440211f463d5b7e01958843c8c160f765 e2ee9ac33c1e07a99f8cc6044f0a7b830e892fbfbfd7d6e8db916707e9c34
securitricks.com
- Kimsuky 그룹의 MS Office를 이용한 키로거 공격
https://otx.alienvault.com/pulse/666ac69198896ad749549d5b
LevelBlue - Open Threat Exchange
Learn about the latest cyber threats. Research, collaborate, and share threat intelligence in real time. Protect yourself and the community against today's emerging threats.
otx.alienvault.com
- SideWinder 그룹의 새로운 인프라 활용 공격
SideWinder Utilizes New Infrastructure to Target Ports and Maritime Facilities in the Mediterranean Sea
As part of our continuous threat hunting efforts, the BlackBerry Threat Research and Intelligence team has discovered a new campaign by the threat actor SideWinder, targeting ports and maritime facilities in the Indian Ocean and Mediterranean Sea.
blogs.blackberry.com
2017년도에 다수 그룹에서 사용되던 취약점이 다시 유포되는 것으로 보여진다. 각 그룹이 이용한 시간 순서는 아래와 같다.
- Kimsuky 그룹 (2024.06.15 공개) -> SideWinder 그룹 (2024.07.25 공개) -> TA558 그룹 (2024.07.31 공개)
이 시간 순서 상으로 보자면 Kimsuky 그룹의 공격 성공 이후 보도된 자료를 통해 CVE-2017-11882가 유효함을 의심한 공격자들이 다시 활용했다고도 볼 수 있을 것 같다.
'Analysis' 카테고리의 다른 글
| 80. Kimsuky's Skidibi Boilet Master.msc (4) | 2024.08.19 |
|---|---|
| 79. Lazarus's characteristic of using C2 (0) | 2024.08.12 |
| 77. Kimsuky's TRANSLATEXT (0) | 2024.07.30 |
| 76. Lazarus's attack using pypi (0) | 2024.07.13 |
| 75. Kimsuky's outlook stealer (0) | 2024.07.03 |
