Talos 보안 인텔리전스 및 연구 그룹
Cisco Talos Comprehensive Threat Intelligence 연구소의 보안 전문가는 상당히 오래된 악성 코드가 악용하기로 결정한 새로운 공격 벡터에 대해 경고를 보냅니다. 시스템에 코드를 삽입하기 위해 PROPagate를 처음 사용했던 악명 높은 애플리케이션 패키지 인 Smoke Loader는 몇 달 동안 Microsoft Windows 시스템을 대상으로 한 것으로 보입니다.
PROPagate는 원래 2017 년 10 월에 발견되었으므로 Windows 설치를 대상으로하는 상당히 새로운 방법을 나타냅니다. 그러나 Smoke Loader는 적어도 2011 년부터 사용되었습니다. 현재 버전은 상당히 발전했으며 최근 발생하는 일부 바이러스는 Meltdown 및 Spectre 익스플로잇을 수정했다고 주장하는 가짜 패치의 결과였습니다.
Smoke Loader 자체는 일반적으로 크래커가 맬웨어를 다운로드하는 데 사용됩니다. 일반적으로 전자 메일에 첨부 된 감염된 Office 문서를 시스템 제어 수단으로 사용합니다.
안전하지 않은 시스템에서 첨부 파일을 열면 추가 맬웨어가 실행될 수 있습니다. 6 월 최악의 사례 중 일부는 랜섬웨어를 포함했지만, 이제는 암호 화폐 코드를 실행하기 위해 CPU를 손상시키는 것이 7 월 둘째 주에 더 많이 진행되는 것으로 보입니다.
Cisco 전문가들은 'Your Sage 구독 송장 기한이 만료되었습니다'라는 제목의 이메일을 발견했습니다.이 이메일은 많은 회사에서 배포하는 인기있는 비즈니스 회계 애플리케이션과 관련이있을 수 있다고 생각하게 만드는 사람들을 유도 할 가능성이 높았습니다.
Linux 보안 전문가가 이러한 첨부 파일이 Unix 상자를 손상 시킨다는보고가없는 것 같습니다. 여기에는 Wine 응용 프로그램 호환성 계층이 실행중인 파일도 포함됩니다. GNU / Linux 사용자는 이와 같은 첨부 파일을 열 때 여전히주의를 기울이는 것이 좋지만 첨부 파일이 일반적으로 이러한 컴퓨터에서도 Word에서 열리지 않기 때문일 수 있습니다.
Sage와 다른 SaaS (Software-as-a-Service) 구독 그룹은 일반적으로 Word 파일을 첨부 파일로 보내지 않으므로 이러한 이메일을 수신하는 사람들에게 위험 신호를 보내야합니다. macOS 사용자는 아직까지 문제를보고하지 않은 것 같으며 Unix 기반 모바일 운영 체제를 사용하지 않습니다.
일부 보안 연구자들은 Smoke Loader를 Dofoil이라고 부르기 때문에이 글을 쓰는 시점에서 어떤 악성 코드가 실제로 임의 코드 실행을 담당하는지에 대해 약간의 혼란이 있습니다. 그럼에도 불구하고 이들은 동일한 감염을 나타내는 다른 용어 인 것 같습니다.
태그 시스코 Windows 보안
