22년된 취약점 익스플로잇 하는 공격 방식...PDF를 활용한 것도 특이해

요약 : 보안 외신 쓰레트포스트에 의하면 스네이크키로거(Snake Keylogger)라는 멀웨어가 악성 PDF 문서를 이용해 빠르게 번져가고 있다고 한다. 공격자들은 지불/환불과 관련된 가짜 이메일을 피해자들에게 보내는데, 여기에 문제의 악성 PDF 파일이 첨부되어 있다고 한다. 이 PDF 파일 내에는 .docx 파일이 임베드 되어 있고, 피해자가 PDF를 열면 리더에서 ‘MS 워드를 통해 파일을 열라’는 내용의 프롬프트가 뜬다. 이 워드 문서는 열림과 동시에 웹 서버로부터 rtf 문서를 다운로드하는데, 여기에는 악성 링크가 숨겨져 있다. 이 악성 링크를 통해 또 다른 doc 문서가 다운로드 되는데, 여기에는 오래된 취약점을 익스플로잇 하는 셸코드가 포함되어 있다. 이 취약점은 CVE-2017-11882이다.


배경 : CVE-2017-11882는 오피스 앱을 설치하면 자동으로 설치되는 앱인 공식 편집기(Equation Editor)에서 발견된 오래된 취약점이다. 2017년 패치됐을 당시 이미 “17년 동안 패치되지 않은 취약점”으로 분석됐었다. 그러므로 22년 전부터 있었던 취약점을 공격자들이 익스플로잇 하는 것이라고 볼 수 있다.

말말말 : “오피스 워드나 엑셀 문서를 악의적으로 활용하는 사례는 무수히 많은데 의외로 PDF를 피싱 공격에 활용하는 사례는 그리 많지 않습니다. 이번 공격을 통해 공격자들의 무기가 한정되어 있지 않다는 것이 다시 한 번 확인됐습니다.” -HP울프시큐리티(HP Wolf Security)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>