요약 : 보안 외신 시큐리티위크에 의하면 새로운 파워셸 기반 백도어가 등장했다고 한다. 윈도 업데이트의 형태로 퍼지고 있으며 탐지가 어렵다고 한다. 현재 링크드인 플랫폼을 위주로 스피어피싱 공격이 이뤄지고 있는데, 여기에 주로 악성 워드 문서가 첨부되어 있고, 이 메일과 문서는 새로운 직무를 제안하는 내용으로 구성되어 있다. 문서를 열면 악성 매크로가 발동되며, 윈도 업데이트가 진행된다는 내용의 팝업을 띄우는데, 사실 이 코드는 파워셸 코드를 피해자 시스템에 심는다. 이 코드는 또 다른 파워셸 스크립트를 실행시키는데, 이 스크립트가 백도어 기능을 수행한다.
배경 : 이 캠페인의 배후 세력은 아직까지 알 수 없다. 현재 피해자는 약 120명/개 조직인 것으로 추정된다. 파워셸 스크립트에서 발견된 코드 오류를 통해 추적해서 파악한 숫자다. 백도어는 사용자의 시스템 정보를 수집해 공격자의 C&C 서버로 전송한다. 정보 수집 후 공격자의 활동에 대해서는 알려진 바가 없다.
말말말 : “공격자들은 백도어 스크립트를 통해 피해자의 정보를 꾸준히 가져가고 있습니다. 사용자 시스템이 무엇인지, 어떤 폴더와 파일이 있는지를 목록으로 만들어 가져가기도 합니다. 여기에 더해 특정 파일을 지울 수도 있습니다. 액티브 디렉토리도 스캔하는 것으로 밝혀졌습니다.” -세이프브리치(Safebreach)-