특정 APT 그룹이 올해 초 중국과 일본을 타깃으로 인터넷 익스플로러(IE)와 파이어폭스의 패치된 두가지 취약점을 악용한 공격을 수행해왔다는 사실이 밝혀졌다.

CVE-2019-17026 취약점은 파이어폭스 브라우저에 영향을 미치고 1월에 패치되었다. 해당 결함은 StoreElementHole과 FallibleStoreElement의 IonMonkey 타입 컨퓨전 문제이다. 여기서 IonMonkey는 파이어폭스 SpiderMonkey 자바스크립트 엔진의 JIT(Just-In-Time) 컴파일러이다.

1월, 모질라는 CVE-2019-17026 제로데이를 악용한 타깃 공격에 대해 인지하였지만 공격 세부 정보는 공개하지 않았다. 이 취약점은 중국 Qihoo 360(치후 360)의 보안 전문가에 의해 모질라 측에 보고되었다.

전문가들은 CVE-2019-17026 제로데이가 IE 제로데이와 함께 공격에 악용되었다고 보고했고, 치후 360 연구원은 처음에 트위터를 통해 발견 내용을 공개했으나 나중에는 메시지를 삭제하였다.

두번째 취약점은 CVE-2020-0674로 추적되는 IE 원격 코드 실행 취약점으로, 2월에 마이크로소프트가 패치했다. 치후 360 측은 공격자가 마이크로소프트의 패치 전에 두가지 결함을 모두 악용했다고 말한다.

치후 360 연구원들은 두가지 취약점이 중국 정부 기관을 겨냥한 공격 캠페인의 일환으로 악용되었고, APT-C-06이라는 DarkHotel APT의 수행으로 보고 있다. 또한 이들은 해당 그룹을 한국에서 운영되는 APT 그룹을 의미하는 Peninsula APT로 칭했다.

한편, JPCERT/CC는 결함을 악용하고 일본 기업을 타깃으로 한 공격에 대한 기술 세부 내용이 포함된 보고서를 발표했다. 해당 보고서는 “IE 또는 파이어폭스를 사용하여 공격 사이트로 이동하면 액세스한 브라우저에 해당하는 공격 코드가 반환된다. 그 후 공격이 성공하면, 공격 코드는 프록시 자동 구성 파일(PAC파일)로 다시 다운로드 된다. 다운로드된 공격 코드는 PAC 파일로 실행되고, 멀웨어가 다운로드 및 실행된다.”라고 설명한다.

결함을 악용하면 PAC 파일을 시스템에 전달할 수 있다. PAC 파일은 공격자가 제어하는 외부 서버를 통해 지정된 웹 사이트에 대한 요청을 리다이렉션 하는데 사용된다.

공격에 사용된 최종 페이로드는 중국 관련 APT 그룹이 수행하는 여러 공격에 사용된 Gh0st RAT의 변형이다. 전문가들은 RAT 소스코드가 수년 전 유출되어 많은 공격자들이 이를 활용하기 시작했다고 설명한다.

보고서는 윈도우7 x64(2019년 12월 패치 적용) 및 윈도우8.1 x64(2020년 1월 패치 적용)에서 멀웨어가 실행될 때까지 이번에는 IE에 대한 공격이 수행될 것이라고 예측했다.

또한 2020년 1월 배포 패치가 적용된 윈도우10 환경에서는 멀웨어 감염이 발생하지 않았고, 이 공격 코드가 윈도우10과 호환되지 않았을 수 있다고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★