• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

북한이 사용했던 플래시 취약점, 다른 해커들도 악용 시작 2018.02.27

이번 달 초 발견된 플래시의 제로데이, 한국에 대한 표적 공격에 활용
최근 비슷한 공격 사례 발견...미국과 유럽의 1000여명 표적 삼아

[보안뉴스 문가용 기자] 이번 달 초 패치된 어도비 플래시의 취약점 CVE-2018-4878이 현재 새로운 피싱 공격에 악용되고 있다는 소식이다. 이 피싱 캠페인은 마이크로소프트 워드 문서도 함께 활용하고 있다고 한다.

[이미지 = iclickart]


먼저 위 어도비 플래시 취약점은 UaF(use-after-free)라고 불리는 버그로, 누군가 원격에서 코드를 실행할 수 있도록 해준다고 어도비는 발표했다. 북한이 특정 남한 조직 및 인사를 대상으로 사이버 공격을 실시할 때 이 취약점을 활용한 것으로 유명하다. 한국의 CERT 팀은 2월 초 플래시 플레이어 액티브엑스 28.0.0.137 및 그 이전 버전에서 CVE-2018-4878 취약점이 익스플로잇 되고 있다고 경고한 바 있다.

익스플로잇에 성공한 공격자는 해당 시스템에 대한 통제권을 거의 다 가져갈 수 있게 된다. 북한은 제일 처음 악성 엑셀 문서들을 통해 이 취약점의 익스플로잇을 유포시켰다. 보안 전문가들은 이 공격자가 북한의 APT 그룹인 스타크러프트(StarCruft)가고 지적했다. 일부 전문가들 사이에서는 “스타크러프트가 했다고 보기에는 너무 ‘고급화된’ 공격이라, 아마도 해당 취약점 정보나 익스플로잇 기법을 누군가로부터 구매한 것으로 보인다”는 분석도 나왔다.

이러한 문제를 파악한 어도비는 2월 6일 패치를 배포했다. 그랬음에도 보안 업체 모피섹(Morphisec)은 이 취약점이 여전히 익스플로잇 되고 있음을 발견할 수 있었다고 발표했다. 모피섹의 CTO이자 부회장인 마이클 고렐릭(Michael Gorelik)은 “2월 22일, 플래시 취약점을 악용한 공격이 진행 중에 있음을 발견했다”고 말한다.

“이 두 번째 캠페인은 지난 번 북한이 감행했던 공격과 유사한 점이 많습니다. 물론 새로 생긴 방어 기법을 우회하려는 기술들이 몇 가지 추가되긴 했습니다. 그래서 바이러스토탈(VirusTotal)에서도 이번 공격에 사용된 악성 문서 파일들의 탐지 비율이 낮게 기록되기도 했습니다. 다음 단계 페이로드 등이 다운로드 되는 곳도 새롭게 등록된 도메인이었고요.”

모피섹이 밝힌 바 이번 캠페인은 약 1천 명의 인물들을 표적으로 한 공격으로, 지난 첫 번째 공격 때보다 규모가 크다. 하지만 표적형 공격임에는 변함이 없었다. 피해자들은 웹사이트 운영자에서부터 우체국 직원들까지 다양했다. 이런 피해자들의 공통점은 “더 많은 피해자들에게 멀웨어나 익스플로잇을 배포할 수 있게 해주는 중간자 역할”을 충실하게 해줄 수 있다는 것이라고 고렐릭은 설명한다. “또한 피해자가 남한 사람이 아니라 유럽과 미국 사람이기도 합니다.”

또한 공격자들은 발견되는 것에 그리 개의치 않은 것 같다고 고렐릭은 분석한다. “공격 기간이 그리 길지도 않았어요. 아마도 패치가 이미 나왔으니, 피해자들이 문제점을 해결하는 데에 얼마 걸리지 않을 것이라고 예상했던 것 같아요. 그래서 오래 머물러 공격을 하겠다는 생각을 애초부터 하지 않았던 것이죠.”

이번 공격자들은 암호화 알고리즘을 살짝 바꿔 악성 파일에 작은 변화를 주기도 했다. 하지만 셸코드 자체는 쉽게 발견할 수 있었다. “이전에는 엑셀 파일을 사용했는데, 이번에는 워드 파일을 사용했습니다.” 이런 악성 파일들이 전달되는 이메일 내에는 짧은 링크가 들어있기도 했는데, 당연히 악성 웹사이트로 연결시켜주는 링크였다. “하지만 구글의 URL 단축 서비스를 사용했기 때문에 쉽게 알아볼 수 없었습니다.” 피해자들은 아웃룩, 지메일, Aruba.it, 한 이탈리아의 웹 호스트를 통해 악성 링크를 클릭했다.

고렐릭은 이번 공격자와 첫 번째 공격자가 서로 다를 것이라고 본다. “이번 공격은 북한이 했다고 보기 힘듭니다. 유사점이 많긴 하지만 공격 대상도 다르고, 사용된 난독화 기술도 다릅니다. 피싱 메일의 첨부 파일도 다르고요. 2월 초 사건 덕분에 플래시 취약점에 대해 새롭게 알게 된 또 다른 해커들이 자기들의 공격에 활용하기 시작한 것으로 보입니다. 이번 플래시 취약점은 익스플로잇이 매우 간단하기 때문에 해커들이 가지고 놀기 부담이 없거든요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>