2017년도에 공개된 MS Office 관련 취약점인 CVE-2017-11882 취약점이 최근 다시 사용되는 중인 것으로 보여진다.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11882
아래 이벤트들에서 모두 공격에 사용된 것이 자체 MISP 에서 확인되었다.
- TA558 그룹의 러시아/벨라루스에 대한 스테가노그래피를 이용한 공격
- Kimsuky 그룹의 MS Office를 이용한 키로거 공격
https://otx.alienvault.com/pulse/666ac69198896ad749549d5b
- SideWinder 그룹의 새로운 인프라 활용 공격
2017년도에 다수 그룹에서 사용되던 취약점이 다시 유포되는 것으로 보여진다. 각 그룹이 이용한 시간 순서는 아래와 같다.
- Kimsuky 그룹 (2024.06.15 공개) -> SideWinder 그룹 (2024.07.25 공개) -> TA558 그룹 (2024.07.31 공개)
이 시간 순서 상으로 보자면 Kimsuky 그룹의 공격 성공 이후 보도된 자료를 통해 CVE-2017-11882가 유효함을 의심한 공격자들이 다시 활용했다고도 볼 수 있을 것 같다.
반응형
'Analysis' 카테고리의 다른 글
80. Kimsuky's Skidibi Boilet Master.msc (4) | 2024.08.19 |
---|---|
79. Lazarus's characteristic of using C2 (0) | 2024.08.12 |
77. Kimsuky's TRANSLATEXT (0) | 2024.07.30 |
76. Lazarus's attack using pypi (0) | 2024.07.13 |
75. Kimsuky's outlook stealer (0) | 2024.07.03 |