최근 CVE-2018-0798 익스플로잇 하는 도구를 동시에 사용하기 시작
익스플로잇 자체가 어려운 취약점...힘을 합하면서 공격 실력도 늘어난 듯

[보안뉴스 문가용 기자] 보안 업체 아노말리(Anomali)가 인도와 중국의 APT 그룹으로 의심되는 사이버 공격자들이 사용한 RTF 문서들을 분석하다가, 중국의 대다수 공격 단체들이 마이크로소프트 수식 편집기(Equation Editor)의 취약점인 CVE-2018-0798를 익스플로잇 하는 기능을 최근 일제히 활용하기 시작했다는 것을 발견했다. 이 RTF 문서는 이전에 CVE-2017-11882와 CVE-2018-0802 취약점을 익스플로잇 하는 데 사용되던 것이다.


CVE-2018-0798, CVE-2017-11882, CVE-2018-0802는 전부 마이크로소프트 수식 편집기에서 발견된 취약점들이다. CVE-2017-11882와 CVE-2018-0802는 예전부터 익스플로잇 되었을 만큼 활용이 쉬운 편에 속해 해커들 사이에서 인기가 높았다. CVE-2018-0798의 경우는 익스플로잇이 보다 어렵지만, 수식 편집기 모든 버전에 존재한다는 장점이 있다.

문제의 RTF 문서는 피싱 문건 형태로 제작되어 있으며, 사용자가 다운로드 받아 열면 악성 스크립트가 주입된다. 이를 다수의 공격 단체가 사용하기 시작했다는 느낌을 받은 아노말리는 익스플로잇 이후의 활동(post-exploitation behaviors)을 조사해, 그 느낌을 확인하는 작업을 거치기 시작했다. 그러면서 정말로 중국의 1) 고블린 판더(Goblin Panda) 혹은 코나임즈(Conimes), 2) 키보이(KeyBoy) 혹은 APT23, 3) 에미서리 판다(Emissary Panda) 혹은 APT27, 4) 랜커 그룹(Rancor Group), 5) 템프트라이던트(Temp.Trident) 혹은 아이스포그(Icefog)가 같은 RTF를 활용하고 있는 것을 확인할 수 있었다.

또한 2019년 6월부터는 보다 많은 사이버 공격자들이 이 RTF 문서를 활용해 CVE-2018-0798 취약점을 익스플로잇 하기 시작했다는 것을 탐지하기도 했다. CVE-2017-11882와 CVE-2018-0802 취약점을 익스플로잇 하던 이전의 RTF 문서는 중국 정부의 지원을 받는 공격자드만 사용했었다. 아노말리는 “익스플로잇용 RTF 문서를 제작한 자가 시장을 확대한 것으로 보인다”며 “중국 내부의 해커들만을 고객으로 보다가, 이제 인도의 해커들에게까지 접근한 것”이라고 설명한다.

같은 취약점을, 같은 RTF 문서로 익스플로잇 한다고 하지만 세부적인 면에서는 공격 단체마다 조금씩 다른 모습을 보여줬다.
1) 고블린 판다는 OLE 패키지 개체와 DLL 사이드로딩 기법을 사용한다.
2) 랜커 그룹은 OLE 패키지 개체와 VB스크립트 실행 기법을 사용한다.
3) 에미서리 판다는 .wll 파일을 MS 워드 폴더에 드롭시킨다.

아노말리는 이런 모든 특징들을 하나로 엮었을 때 한 가지 결론이 나온다고 말한다. “중국의 정부 지원을 받는 해커들이 서로 연대하고 공유하는 문화를 보유하고 있다”는 것이다. “첫 번째 RTF 문서는 오로지 중국 해커들 사이에서만 약 1년 동안 사용되었습니다. 그런 후에 다른 해커들에게로 퍼져갔죠. 그 다음의 RTF 문서는 약 반년 동안 중국 해커들끼리만 사용했습니다. 그러고는 다른 해커들에게 전파됐습니다. 아직 이러한 악성 공격 툴의 근원지를 밝혀내지는 못했지만, 이것이 중국 해커들 사이에서 먼저 공유되고 있다는 건 분명합니다.”

아노말리는 “APT들끼리는 서로 협력을 하거나 뭔가를 공유하지 않던 게 현재까지는 일반적인 모습이었다”며 “중국 내 APT 단체들이 같은 공격 인프라나 도구를 나누기 시작했다는 건 중대한 사안”이라고 표현했다. 아노말리의 첩보 전문가인 가리브 사드(Ghareeb Saad)는 “중국의 APT 단체들이 협력을 하면 공격이 보다 효율적이고 효과적으로 향상될 것”이라며 “방어하는 입장에서는 더 막기 힘든 것이 예고된 것이나 다름이 없다”고 말한다.

또한 중국 해커들이 “자기들끼리 새로운 도구를 공유하여 한 차례 재미를 본 이후에는 일반 사이버 범죄자나 타국의 APT들에게 팔아넘기는 것처럼 보인다”고 사드는 지적한다. 그렇다는 건 중국의 해커들이 지나간 자리에, 모방범들이 난립할 가능성이 크다는 뜻이다. 사이버 공간과 네트워크들은 더 위험하고 난잡한 공격에 노출된다.

중국 해커들이 거의 동시에 갖춘 게 하필이면 CVE-2018-0798이라는 취약점에 대한 익스플로잇이라는 것도 심각한 문제다. “CVE-2018-0798은 보안 업계 내에서조차 널리 보고되고 전파된 취약점이 아닙니다. 게다가 익스플로잇 쉽지 않아 일반적인 공격자들이 선호하지 않는 성질의 것이기도 하죠. 그렇다는 건 중국의 APT 단체들이 스스로 취약점과 익스플로잇을 발굴하고 개발할 줄 안다는 뜻입니다. 수준이 높다는 것이죠.”

최근 보안 업체 블랙베리 사일런스(Blackberry Cylance)는 “중국 정부가 이전까지는 별개로 활동하게 놔둔 해킹 단체들을 한 데 모아놓고 중앙에서 관리하는 체제를 도입한 것으로 보인다”는 내용의 보고서를 발표하기도 했다(https://www.boannews.com/media/view.asp?idx=79615&kind=).

3줄 요약
1. 중국의 APT 단체들, 따로 노는 줄 알았더니 거의 동시에 새로운 공격 도구 활용하기 시작.
2. 최근 들어 중국의 APT 단체들이 서로 연합하고, 지식과 기술을 공유하는 듯한 낌새가 보이기 시작.
3. 사실이라면, 중국발 사이버 공격 보다 치명적이고 무서워질 것 자명.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>