계속 악용되고 있는 Follina 취약점(feat. Windows 업데이트 하셨나요?)

 

계속 악용되고 있는 Follina 취약점(feat. Windows 업데이트 하셨나요? )

 

 

 

보안 업체 포티넷(Fortinet)은 최근 Follina(CVE-2022-30190, Follina Zero-Day) 취약점을 악용해

Rozena라는 새로운 백도어를 심는 공격이 발견되었다고 발표했습니다.

 

 

 

2022년 5월 발견된 Follina(CVE-2022-30190, Follina Zero-Day) 취약점은 6월에 패치된 상태지만,

공격자들은 패치되지 않은 시스템을 공격하기 위해 지속적으로 익스플로잇하는 것으로 밝혀졌습니다.

 

 

 

Follina 취약점은 원격코드 실행 취약점으로,

해당 취약점을 악용하면 Word 문서와 같은 파일을 만들어 열 때

Microsoft Windows 지원 진단 도구를 호출하도록 합니다.

이후 스파이웨어 및 랜섬웨어와 같은 악성코드를 실행하는 데 악용될 수 있습니다.

 

 

 

Rozena는 원격 셸을 주입해 공격자가 언제든지 피해자의 시스템에 접속할 수 있도록 하는 백도어입니다.

Rozena는 Word.exe라는 페이로드 안에 섞여서 유포됩니다.

 

 

 

공격 캠페인의 배후에 있는 공격자들은 오피스 워드 문서를 미끼로 사용하고 있습니다.

미끼인 워드 문서를 피해자가 열면 디스코드 URL로 연결되어 HTML 파일이 다운로드 되며,

이 HTML은 PowerShell을 실행시켜 추가 페이로드를 다운로드 받습니다.

추가 페이로드에는 Rozena가 포함되어 있습니다.

 

 

 

한편 6월, Proofpoint 연구팀은 TA413으로 추정되는 중국 APT 그룹이

티베트 인사들을 정찰하기 위해 Follina 취약점을 익스플로잇 하여

큐봇(Qbot), 에이싱크랫(AsyncRAT) 등의 멀웨어를 유포했다고 밝혔습니다.

 

 

 

Microsoft는 6월 14일 *패치 튜즈데이에 Follina(CVE02022-30190) 취약점을 수정했습니다.

Follina 취약점에 대한 보안 업데이트는 2022년 6월 누적 업데이트 혹은

Windows Server용 독립 실행형 보안 업데이트에 포함되어 있습니다. 

 

*patch tuesday은 Microsoft, Adobe, Oracle 등이 정기적으로 소프트웨어 제품에 대한 소프트웨어 패치를 릴리스할 때 사용되는 비공식 용어입니다.

 

 

감사합니다.

 

제작 : MIR Team

문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial