최근 해커들이 마이크로소프트(MS) 오피스의 매크로 차단 기능을 우회하는 새로운 사이버 공격 방식을 찾고 있어 주의가 필요하다.
2021년 10월 이전 대부분의 해킹은 무기화된 오피스 문서에 심은 멀웨어를 유포하는 방식으로 이뤄졌다. 이는 사용자가 파일을 열면 해킹이 시작되는 방식이다.
이에 MS는 최근 오피스 응용 프로그램에서 MOTW(Mark of the Web) 보호 기능을 도입해 엑셀 4.0과 VBA(Visual Basic for Applications)에 대한 매크로를 차단하기로 했다.
MOTW는 파일의 출처를 확인하기 위해 MS에서 도입한 기능이다. 파일이 특정 인터넷이나 네트워크에서 다운로드된 경우, 다운로드된 영역을 식별하는 주석이 파일에 포함된다. 영역에 따라 윈도우는 사용자가 신뢰할 수 없는 소스에서 유해한 파일을 실행하거나 여는 것을 방지하도록 돕는다.
MOTW 도입 이후 해커들은 이를 우회할 대체 공격 방법을 찾고 있는 상황이다.
보안 기업 프루프포인트(Proofpoint)의 연구팀에 따르면, 해커는 해킹 캠페인에서 ISO와 RAR 같은 컨테이너 파일과 Windows Shortcut(LNK) 파일을 점점 더 많이 사용하고 있다. 이 첨부 파일들의 사용률은 거의 175%에 도달했으며 2022년 2월부터 최소 10명의 해커가 LNK 파일을 사용하고 있는 상황이다.
또한 해커의 매크로 첨부 파일 사용은 2021년 10월에서 2022년 6월 사이 약 66% 감소했다. 반면 LNK 파일을 사용하는 캠페인 수는 2021년 10월 이후 1675% 증가했다.
프루프포인트 측은 “해커들은 매크로 사용 문서에서 벗어나 초기 접근에 다양한 파일 유형을 점점 더 많이 활용하고 있다. 이는 주로 ISO를 포함한 기타 컨테이너 파일 형식과 LNK 파일에 의해 이뤄진다. 이러한 파일 형식은 MS의 매크로 차단 보호 기능을 우회할 수 있을 뿐아니라, 멀웨어, 데이터 해킹, 랜섬웨어로 이어질 수 있다. 이는 최근 가장 큰 이메일 위협 중 하나다”라고 강조했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
