SafeSvcInstall, 4년 째 공격 시도 중 Posted By ASEC , 2014년 9월 19일 보통 APT (Advanced Persistent Threat)로 분류되는 위협은 지속적인 공격을 특징으로 꼽는다. 하지만, 공격자가 지속적으로 매번 새로운 공격 방식을 사용하는 경우는 드물다. 공격에 이용하는 악성코드 역시 보통 자신들의 악성코드를 조금씩 바꿔 공격에 이용한다. 이 글에서 언급한 Backdoor/Win32.Etso 변형도 예외가 아니다. 2014년 9월 표적공격(targeted attack)으로 추정되는 백도어 샘플을 분석하던 중 유사 악성코드를 이용한 공격이 2011년부터 진행되었음을 확인했다. 2011년 MS 워드 문서 취약점 (CVE-2010-3333)을 이용한 공격이 있었다. 취약점이 존재하는 MS 워드로 해당 RTF 파일을 열어보면 중국어를 포함한 문서 내용이 열린다. 취약점을 가진 워드에서 변조된 문서를 열면 dll 파일이 떨어지고 실행된 후 ~KB8467501.tmp 파일에 최종 감염된 백도어 코드를 쓴다. 시스템에는 최종적으로 KB01b80cc5.dll 등의 이름을 가진 백도어 파일에 감염된다. 국내에서도 2011년 봄 동일한 CVE-2010-3333 취약점을 이용한 공격이 존재했었다. 국내에 발견된 변형은…
