ASEC에서는 2012년 8월 21일 어제 CVE-2009-0927 취약점을 악용하는 어도비 리더(Adobe Reader) 파일인 PDF 파일이 이메일에 첨부되어 국내에 유포된 사실을 확인 하였다.
해당 CVE-2009-0927 취약점은 2009년 3월 어도비에서 보안 권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat"을 통해 이미 보안 패치가 배포 중인 취약점이다. 그리고 해당 취약점을 악용하여 취약한 PDF 파일을 유포하는 공격 형태는 2009년 10월부터 지속적으로 발견되어 왔다.
2009년 10월 9일 - 어도비 PDF 제로 데이 취약점 공격 악성코드 발견
2009년 10월 16일 - 새로운 어도비 취약점 웹 사이트를 통해 유포
2009년 11월 10일 - 타켓 공격에 악용된 취약한 PDF 악성코드
2010년 11월 25일 - 이메일로 유포된 랜섬웨어를 다운로드하는 제우스
이 번에 발견된 CVE-2009-0927 취약점을 악용하는 취약한 PDF 파일은 이메일에 첨부된 형태로 유포되었으며, 동일한 취약점을 파일명과 문서 내용만을 변경하여 유포되었다.
현재 확인된 취약한 PDF 파일은 총 2개로 열게 되면 아래 이미지와 같은 내용들이 보여진다.
공문국방무기체계사업관리교육9월교육과정입교희망자파악.pdf (408,766 바이트)
공문과학적사업관리기법확대적용및EVMTool소개교육안내.pdf (458,902 바이트)
해당 문서들을 어도비에서 배포한 보안 패치를 설치하지 않은 취약한 버전의 어도비 리더를 사용하는 시스템에서 열어보게 될 경우 AdobeARM.dll (32,768 바이트)와 webios.dll (8,704 바이트) 파일들이 생성된다.
C:\Documents and Settings\[사용자 계정명]\Local Settings\Temp\AdobeARM.dll
C:\WINDOWS\system32\webios.dll
'악성코드 정보' 카테고리의 다른 글
| MS12-060(CVE-2012-1856) 취약점을 악용한 타겟 공격 (0) | 2012.08.30 |
|---|---|
| 오라클 자바 JRE 7 제로 데이 취약점 악용 악성코드 유포 (0) | 2012.08.29 |
| 악성코드 감염으로 알려진 일본 재무성 침해 사고 (0) | 2012.08.21 |
| 사우디아라비아 정유 업체를 공격한 Disttrack 악성코드 (0) | 2012.08.20 |
| 어도비 플래쉬 플레이의 CVE-2012-1535 취약점 악용 악성코드 (2) | 2012.08.16 |
댓글