최신 보안 동향

파키스탄을 표적으로 공격하는 피싱 캠페인 발견

TACHYON & ISARC 2024. 6. 25. 14:32

최근 사이버 보안 연구원들이 맞춤형 백도어를 사용해 파키스탄 사람들을 표적으로 삼는 새로운 피싱 캠페인을 발견했다.

 

보안 업체 Securonix에서 PHANTOM#SPIKE로 명시한 해당 캠페인의 공격자는 군사 관련 내용의 문서를 활용해 피싱 공격을 한다고 말했다. 외신에 공유된 보고서에 따르면 이 캠페인은 정교함이 부족하고 대상 시스템에 대한 원격 엑세스를 달성하기 위해 간단한 페이로드를 사용한다는 특징이 있다고 밝혔다. Securonix는 피싱 이메일에 러시아 연방 국방부가 주최한 국제군사기술포럼 행사와 관련된 회의록으로 추정되는 ZIP 아카이브가 포함되어있다고 전했다. ZIP 파일에는 Microsoft CHM 파일과 숨겨진 실행 파일이 들어있으며, 이 파일을 열면 회의록과 몇 개의 이미지가 표시되고 사용자가 문서의 아무 곳을 클릭하면 번들 바이너리가 생성된다고 언급했다.

 

최종적으로 실행 파일은 TCP를 통해 원격 서버와 연결을 설정 후 사용자의 데이터를 탈취하거나 추가 악성 코드 페이로드를 실행한다고 덧붙였다.

 

[Microsoft CHM 파일 내용]

사진 출처 : Securonix

출처

[1] Securonix (2024.06.22) – Analysis of PHANTOM#SPIKE: Attackers Leveraging CHM Files to Run Custom CSharp Backdoors Likely Targeting Victims Associated with Pakistan

https://www.securonix.com/blog/analysis-of-phantomspike-attackers-leveraging-chm-files-to-run-custom-csharp-backdoors-likely-targeting-victims-associated-with-pakistan/