AI스페라는 최근 MS 빙의 검색 결과를 악용한 악성코드 공격 방법과 공격에 사용된 IP 주소 및 도메인을 분석해 발표했다. 이번에 발견된 다단계 악성코드 공격은 빙의 검색 결과에서부터 시작된다. 공격자는 Bing 검색 결과 링크에 악성 자바스크립트(JavaScript) 파일을 내려받는 링크를 심어 놓았다 

위협헌팅도구 크리미널 IP(Criminal IP)로 Bing 검색엔진을 악용한 악성코드 공격에 사용된 IP 주소를 검색한 결과 다수의 CVE가 발견됐다 

Bing 검색엔진을 악용한 악성코드 공격에 사용된 TTPs 및 마이터 어택 기술 ID와 단계를 살펴보면 다음과 같다. 먼저 ‘애플리케이션 계층 프로토콜’에서 공격자는 Brute Ratel 및 Latrodectus가 C2와 통신하기 위해 HTTP/HTTPS 프로토콜을 사용했다 

보안제품이 있더라도 우회하는 기법을 개발하는 해커의 활동이 보인다. 

에이아이스페라 관계자는 “이번 공격을 통해 악성코드 공격이 기존 보안 솔루션의 탐지를 우회하기 위해 점점 더 교묘해진다는 점을 알 수 있다”며 “빙과 같은 글로벌 검색엔진을 사용하더라도 검증되지 않은 도메인을 클릭할 때는 위협 헌팅 도구 등을 사용해 위험 여부를 사전에 확인하는 것이 중요하다”고 강조했다. 

기사출처 :  빙 검색엔진 악용한 다단계 악성코드 공격... 검색 결과에 악성파일 링크 심어 (boannews.com)

criminal ip 검색엔진 ---------- 

위협 인텔리전스 검색엔진 | Criminal IP