2009년 11월 10일 야간 유럽 일부지역에서 전자 메일을 이용한 타켓(Target) 공격이 발생하였다는 보고가 금일 새벽에 있었다.
이번에 발생한 타켓 공격은 유럽의 특정 단체의 구성원들에게만 악의적인 전자 메일이 전송되었으며 해당 전자 메일의 본문에는 취약점이 존재하는 어도비 아크로뱃 리더(Adobe Acrobat Reader) PDF 파일을 다운로드 하게 구성되어 있다.
해당 타켓 공격에 악용된 전자 메일은 다음과 같은 형태를 가지고 있다.
* 메일 제목
User “수신인 이름” Alert
* 메일 본문
Problems with traffic
<악의적인 웹 사이트로 연결하는 링크>
해당 전자 메일 본문에 존재하는 악의적인 웹 사이트 링크를 클릭하게 될 경우 아래 이미지와 같이 미국 텍사스주 달라스에 위치한 특정 시스템으로 연결되도록 되어 있다.
해당 시스템은 다시 아래 이미지와 같이 러시아에 위치한 특정 시스템에서 취약한 어도비 아크로뱃 리더 PDF 파일인 info.php (6,564 바이트)를 다운로드 하도록 구성 되어 있다.
러시아에 위치한 시스템에서 다운로드 되는 info.php 파일은 취약한 PDF 파일으로 해당 PDF 파일의 압축을 풀어보면 아래 이미지와 같이 사람이 읽을 수 없는 난독화 되어 있는 자바 스크립트(Java Script) 코드와 함께 쉘코드(Shellcode)가 존재하게 된다.
해당 PDF 파일은 아래와 같은 어도비 아크로뱃 리더의 취약점을 악용하며 해당 취약점을 제거할 수 있는 보안 패치 역시 이미 어도비사에 의해 2009년 3월 18일에 제공 중에 있다.
Categories:악성코드 정보