2019-09-18 19:33 (수)
APT28 해킹그룹, 최신 CVE-2017-11292취약점 악용해 공격 감행 중
상태바
APT28 해킹그룹, 최신 CVE-2017-11292취약점 악용해 공격 감행 중
  • hsk 기자
  • 승인 2017.11.02 16:29
이 기사를 공유합니다

악의적 MS워드파일로 위장해 항공 및 정부와 민간 기업 타깃으로 공격 감행

h-1.jpg
보안 업체 프루프포인트(Proofpoint) 연구원들이 어도비(Adobe)가 이번주 초 패치한 플래시 제로데이 취약점을 활용한 러시아 APT28 그룹의 몇가지 멀웨어 캠페인 증거를 수집했다. 유럽과 미국 전역 기관을 타깃으로 하는 공격을 연구한 전문가들에 따르면, APT28은 취약점 패치 전이나 사용자들이 업데이트를 하기 전에 CVE-2017-11292 제로데이를 익스플로잇하려고 시도하고 있다고 전했다.

정부의 지원을 받는 해커들은 주로 항공 산업의 정부 및 민간 부문 사업을 타깃으로 공격을 감행했다. 프루프포인트 보고서는 “10월 18일 화요일, 연구원들이 최근 패치된 어도비 플래시 취약점인 CVE-2017-11292를 익스플로잇해 악의적인 MS 워드파일로 위장한 것을 발견했다. 우리는 해당 공격을 러시아 정부가 배후에 있는 APT28 그룹의 소행이라고 판단했다.”고 말한다.

이 캠페인에 대한 데이터를 타깃팅하는 데에는 한계가 있지만, 일부 이메일은 항공 산업 정부 및 민간 부문 사업과 동일한 외국의 정부 기관들에 전송되었다. 유럽과 미국을 포함하여 광범위한 지역을 타깃으로 하고 있으며 메일은 무료 메일 서비스를 이용해 보낸 것으로 확인됐다.

관련 패치는 10월 16일 월요일에 배포되었고, 당시 카스퍼스키는 CVE-2017-11292를 활용한 BlackOasis APT 그룹의 공격을 탐지했다. 연구원들은 APT28 그룹이 BlackOasis 공격으로부터 코드를 구입하거나 리버스 엔지니어링을 시도했거나, 본인들이 직접 익스플로잇을 개발했고, 이를 타깃 공격에 활용하고 있다고 생각하지만 이에 대해서는 확실히 밝혀진 것이 없다.

전문가들은 CVE-2017-11292 취약점을 익스플로잇한 최근 공격들이 Montenegro와 APT28 그룹이 사용하는 플래시 익스플로잇 프레임워크 DealersChoice와 동일한 구식 멀웨어를 사용하고 있음을 발견했다. 타깃이 된 사용자가 파일을 열면, DealersChoice가 CVE-2017-11292 익스플로잇 코드를 원격 서버에서 다운로드해 실행한다. World War 3.docx라는 문서가 APT28의 공격 프레임 워크인 DealersChoice.B를 통해 C&C 서버로부터 익스플로잇 코드를 내려받도록 요청하는 것이다. DealersChoice는 CVE-2015-7645, CVE-2016-1019, CVE-2016-4117, CVE-2016-7855와 같은 다양한 플래시 취약점을 익스플로잇해 MS 워드 문서에 내장시켜 악용하는데에도 사용되었다.

프루프포인트 연구원 Kafeine은 회사가 CVE-2017-11292 공격에 사용된 DealersChoice 프레임워크와 관련된 C&C 서버를 제거하기 위한 작업을 진행 중이라고 언급했다. “APT28은 가능한 패치가 널리 배포되기 전, 문서화된 취약점 악용을 목적으로 빠르게 변화하고 있는 것으로 보인다. 플래시는 여전히 많은 시스템에 존재하고 있고 해당 취약점은 모든 주요 OS에 영향을 미치므로 즉시 패치를 진행하는 것이 중요하다.”고 Proofpoint는 말한다.

★정보보안 대표 미디어 데일리시큐!★