RSA 해킹 악성코드 공개

F-Secure에서 2011년 3월 발생한 RSA 해킹 사건과 관련된 내용을 공개했습니다.

- How we found the file that was used to Hack RSA http://www.f-secure.com/weblog/archives/00002226.html

관련 기사도 나오고 있습니다.

- Is this the phishing email that caused the RSA breach? http://www.net-security.org/secworld.php?id=11521

파일명은 survey-questions_2011.xls 였으며 V3 진단명은 Dropper/Cve-2011-0609 로 2011.03.16.02 이후 엔진에서 진단되고 있습니다. 보안업데이트가 적용된 최신 한글판 엑셀 2007에서는 빈문서가 열리네요.

관련된 취약점은 ASEC 블로그에 올라가 있습니다.

- 엑셀 파일로 유포된 어도비 플래쉬 제로 데이 취약점 http://blog.ahnlab.com/asec/501

당시에도 타겟공격으로 알려졌지만 RSA 공격에 이용된건 이제 밝혀졌네요.

문서에 포함된 악성코드는 유명한 백도어인 포이즌아이비(Poisonivy) 변형입니다. 꽤 오래된 악성코드인데 여전히 유용하게 사용되고 있군요. 아무래도 크기가 작다보니 코드 삽입하기 편한게 아닐까 싶네요.

관련된 정보로 미국 군수업체 해킹에 이용되었을 가능성도 존재합니다.