check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

해커조직 ‘그룹123’, 최근 어도비 제로데이 취약점으로 한국 집중 공격중

“Group123, 최신 ROKRAT 페이로드와 함께 엘리트 범죄조직으로 발전하고 있어”

길민권 기자 mkgil@dailysecu.com 2018년 02월 06일 화요일

▲ 엑셀 문서를 활용한 플래시 취약점 악용사례. 탈로스 제공.
▲ 엑셀 문서를 활용한 플래시 취약점 악용사례. 탈로스 제공.
대한민국을 주요 공격타깃으로 매우 활발히 공격 작업을 진행하고 있는 해킹단체 ‘Group123’이 최근 어도비 제로데이 취약점을 악용해 한국을 공격하고 있는 것으로 조사됐다. Group123은 지난해부터 최근까지 한국을 대상으로 사이버공격을 전개해 오고 있는 해킹그룹이다.

시스코 보안 인테리전스 그룹 탈로스에 따르면, Group123이 지난 1년간 한국을 대상으로 한 공격은 △골든타임 △사악한 새해 △행복하십니까? △FreeMilk △북한 인권 △사악한 새해 2018년 등으로 나눌 수 있다.

▲ 해커 조직 그룹123, 한국 대상으로 최근 1년간 공격한 캠페인 분석 내용.
▲ 해커 조직 그룹123, 한국 대상으로 최근 1년간 공격한 캠페인 분석 내용.
한편 지난 2월 1일 어도비는 플래시 플레이어 취약점(CVE-2018-4878)에 관한 권고안을 발표한 바 있다. 이 취약점은 조작된 플래시 개체를 통해 원격코드 실행(RCE)을 감행하는 일종의 UAF(Use-After-Free) 형태다. Group123은 이 취약점을 악용해 공격을 진행하고 있다.

해커는 마이크로소프트 엑셀 문서에 포함된 플래시 개체를 조작하는 방법으로 이 취약점을 악용하고 있는 것으로 나타났다. 이 플래시 취약점 악용사례를 지난해 11월부터 발견됐다.

엑셀문서를 열면 조작된 코드가 실행되면서 악성 웹사이트에서 페이로드를 추가로 다운로드한다. 또한 이때 다운로드되는 페이로드는 ROKRAT이라는 널리 알려진 원격 관리 도구인 것으로 확인됐다.

이번 취약점 악용 사례의 특이점은 문서를 탈취하고 감염된 시스템을 관리하기 위해 클라우드 플랫폼이 동원된다는 점이다.

탈로스에 따르면 “이번 플래시 제로데이 공격에 연루된 Group123은 최신 ROKRAT 페이로드와 함께 엘리트 범죄조직으로 발전하고 있다. 이들은 어도비 플래시 플레이어 제로데이 취약점의 고전적인 악용 수법을 탈피해 완전히 새로운 악용 수법을 사용하고 있다”며 “Group123은 매우 숙련된 단체로, 이 전에 볼 수 없었던 새로운 익스플로잇을 사용했다. 공격자 그룹은 자신의 공격이 성공할 것이라는 확신을 갖고 있었다는 것을 짐작할 수 있다”고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록