MerkSpy 멀웨어 취약점: MS 워드 문서 (.doc .docx) 다운로드 조심!

Hours 첫 작성 : Hours 업데이트 :
Comments 2 Comments

MerkSpy라는 멀웨어가 퍼지고 있는데, 놀랍게도 3년 전에 발견되고 패치된 MS 오피스의 취약점(CVE-2021-40444)이 최근 악성 캠페인을 가장해 유포되고 악용되고 있습니다.

공격과 탈취 과정

  1. 피싱 메일: 피싱 메일에 첨부된 MS 워드 문서 파일로 접근 합니다.
  2. 문서 열기: 문서를 열면 CVE-2021-40444 취약점이 발동되어, 원격 코드 실행이 이루어집니다. 문서 내부의 “_rels\document.xml” 파일에 숨겨진 URL이 악성 HTML 파일을 다운로드합니다.
  3. 쉘코드 준비: 다운로드된 “olerender.html” 파일이 시스템의 OS 버전을 확인하고, X64 아키텍처가 탐지되면 “sc_x64” 쉘코드를 추출합니다.
  4. 쉘코드 실행: “VirtualProtect”와 “CreateThread” API를 활용해 메모리 권한을 수정하고, 쉘코드를 실행하여 다음 페이로드를 다운로드합니다.
  5. GoogleUpdate 다운로드 및 디코딩: 쉘코드는 “GoogleUpdate”라는 이름 파일을 다운로드하고 XOR 키를 사용해 디코딩하여 실제 악성 페이로드를 추출합니다.
  6. 머크스파이 멀웨어 주입: 디코딩된 페이로드는 VMProtect로 보호되며, 머크스파이 스파이웨어를 시스템 프로세스에 주입합니다.
  7. 지속성 확보: 머크스파이는 “GoogleUpdate”로 위장하여 레지스트리에 항목을 추가하고, 시스템 시작 시 자동으로 실행됩니다.
  8. 정보 탈취: 머크스파이는 스크린샷 캡처, 키스트로깅, 크롬 로그인 정보 탈취 등을 수행하고, 수집된 정보를 공격자의 서버로 전송합니다.

Forinet에는 ‘시스템 침투를 위한 CVE-2021-40444 익스플로잇’이라는 제목의 글이 올라왔는데요. 원문은 MerkSpy: Exploiting CVE-2021-40444 to Infiltrate Systems | FortiGuard Labs (fortinet.com) 여기서 보실 수 있습니다.

한 줄 요약 : 사람이 보낸 의심스러운 MS 워드 파일 첨부문서는 조심하자.

2 Comments

  1. Hello. I have a security question. I’m enjoying reading your blog. Of course, you’re reading it translated in your browser. These days, times are changing. The trend is shifting toward putting security first, so it’s a priority. On Reddit, people who use ExpressVPN are upset that the original privacy policy suddenly changed to a new one, and they’re worried about security concerns. “We collect the region of the VPN server and your country/ISP when a connection is successful” the privacy policy states. I would like some clarification on this. This means that we don’t know if your blog has any of these topics. We apologize if we’ve covered this topic on our blog. So all of ExpressVPN’s servers have been No Log since the original privacy policy was changed to the new one? Are you sure that all servers are nearly No Log? We’d love to hear from bloggers. You’d think this would be the most important thing. 最後まで聞いてくれてありがとう!

    응답

    1. It’s amazing that foreigners enjoy my articles and even leave comments!

      I’m using a translator, so my sentences might be a bit unnatural 🙂

      First of all, I think it would be good to approach this from a business perspective (it’s something I’m following with interest and I’ll be writing about it soon)

      ExpressVPN was sold to Kape for $936m. The article said they have over 3 million users, and as of fiscal 2020, their revenue is around $280m.

      That’s a lot of money, and the reason ExpressVPN has grown so much is because people trusted it to be the most trusted no-logs company.

      To put it another way, if the No Log credibility was tainted, the company’s value would go down vertically.

      The No Log part of ExpressVPN is something can’t give up, not for users, but for ExpressVPN.

      One thing I am concerned about, however, is Kape.

      https://netxhack.com/network/kape-wizcase-vpnmentor/

      https://netxhack.com/network/expresssvpn-kape-danielgericke/

      I was thinking, based on the past, it’s an owner with a bold and aggressive business style, and they’ve invested a lot of money, and they want to see results and rewards, and we’ll see how they move forward to do that.

      If expressvpn’s policy has changed and users are pushing back against it, it must be in their favor.

      I’ll try to find some data and write a post when it’s clearer.

      Can you give me a link to that reddit thread

      日本のどこに住んでいますか?韓国がこんなに暑いのに、日本はもっと蒸し暑いでしょうね。

      雨の被害がないことを祈っています。いつも幸せな一日をお過ごしください。

      응답

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다