세 가지 취약점 중 하나만 뚫으면 악성 페이로드 다운로드 돼
다양한 기능 탑재되어 있고, 플러그인 통해 기능 추가도 가능

[보안뉴스 문가용 기자] 마이크로소프트 오피스 앱에서 비교적 최근에 발견된 취약점을 악용하려던 사례가 보안 업체 파이어아이(FireEye)에 의해 적발됐다. 공격자들은 자이클론(Zyklon)이라는 멀웨어를 이 공격에 활용하고 있었다.


자이클론은 2016년 초반 처음 등장한 멀웨어다. 디도스, 키스트로크 로깅, 비밀번호 탈취, 암호화폐 채굴 등 공격자들에게 다양한 기능을 부여하는 것으로 알려졌다. 최근 다시 등장한 자이클론은 통신사, 보험 산업, 금융 업체 등을 집중적으로 노리는 것으로 나타났다. 이러한 산업에 종사하는 자들에게 스팸 메일의 ZIP 첨부파일 형태로 배포되고 있다.

트렌드 마이크로에 의하면 압축 파일을 풀면 특별히 조작된 워드 문서가 나온다고 한다. 이 워드 문서는 마이크로소프트 오피스에서 발견된 세 가지 취약점들 중 한 가지를 익스플로잇하는 기능을 가지고 있다. 익스플로잇에 성공하면 파워셸 스크립트를 실행해 최종 자이클론 페이로드를 원격 서버로부터 다운로드 받는다.

이 세 가지 취약점 중 하나는 CVE-2017-8759다. 지난 9월 마이크로소프트가 패치했다. 중국 정부와 관련이 있어 보이는 사이버 스파이들이 미국 기업들을 공격하는 데 활용되기도 했다. 또 다른 하나는 CVE-2017-11882로, 이퀘이젼 에디터(Equation Editor) 요소 내에서 17년 동안이나 발견되지 않았던 취약점이다. 지난 11월 MS가 패치했지만, 이란 사이버전 해커들이 악용한 것으로 나타났다.

마지막으로 공격자들은 오피스 내에 있는 다이내믹 데이터 익스체인지(DDE) 기능도 남용한 것으로 나타났다. 러시아 정부와 연관성이 있는 것으로 의심되는 사이버 스파이들은 일찍부터 DDE 기능을 악용해 멀웨어를 배포해온 것으로 분석된다. 마이크로소프트는 오피스 모든 버전에서 DDE 기능을 비활성화시킨 바 있다. 이 세 가지 취약점들 중 하나라도 통하면, 파워셸 스크립트가 다운로드 및 실행되고, 이를 통해 최종 페이로드가 피해 시스템에 안착하게 된다.

자이클론은 토르 네트워크를 통해 C&C 서버와 통신한다. 원격 C&C와의 연결이 완성되면 공격자는 멀웨어에 다양한 명령을 전달하고, 멀웨어는 시스템에 대한 정보를 C&C로 전달한다. 혹은 디도스 공격을 하거나 암호화폐를 채굴할 수도 있다.

자이클론의 장점은 다양한 기능이 탑재되어 있음에도 추가 기능을 플러그인을 통해 부여받을 수 있다는 것이다. 어떤 플러그인을 부착하느냐에 따라 공격자들은 피해자가 사용하는 다양한 서비스의 비밀번호를 훔쳐낼 수도 있고, 소프트웨어 라이선스 번호 등을 탈취할 수도 있게 된다.

뿐만 아니라 Socks5 프록시도 설정할 수 있다. 클립보드를 하이재킹하고 비트코인 주소를 바꿔 넣어 잘못된 송금을 유도하는 것도 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>