2020-02-17 06:25 (월)
최근 대규모 사이버공격에 최신 플래시 취약점 악용돼...주의
상태바
최근 대규모 사이버공격에 최신 플래시 취약점 악용돼...주의
  • hsk 기자
  • 승인 2018.02.28 13:24
이 기사를 공유합니다

공격자, APT37 그룹이 사용한 것과 유사한 익스플로잇 버전 사용

hacking-2300793_640.jpg
북한 정부가 지원하는 해킹그룹으로 알려진 APT37 그룹이 한국을 타깃으로 CVE-2018-4878 취약점을 사용했다는 사실이 밝혀진 이후, 보안 전문가들은 2월 6일 어도비에서 해당 취약점에 대한 패치를 배포했다. 그러나 보안업체 모피섹(Morphisec)에 의하면 같은 취약점이 다른 공격자들에 의해 또 사용되었다는 사실이 발견됐다.

Morphisec은 2월 22일에 이 캠페인을 찾았고, 공격자는 APT37 그룹이 사용한 것과 유사한 익스플로잇 버전을 사용하고 있었다. 해당 캠페인은 CVE-2018-4878 취약점을 익스플로잇한, 재정적 동기가 있는 공격자들로부터 발생했다. 공격자는 악성 코드를 전달하기 위해 UAF(Use After Free) 취약점을 익스플로잇하고 있다. 연구원들이 밝힌 또다른 특징은 해당 익스플로잇이 본래의 것과는 다르게 64 비트 버전이 없다는 것이다.

공격자는 safe-storage.biz에 저장된 문서 링크를 포함한 스팸 이메일을 사용했다. 문서가 한번 다운로드되고 열리면, 사회 공학적 기법으로 사용자를 속인다. 온라인 미리보기를 사용할 수 없다는 것을 사용자에게 알리며, 콘텐츠를 보기 위해 편집 모드를 사용하도록 지시한다.

사용자가 편집 모드를 활성화하면, CVE-2018-4878 어도비 취약점이 익스플로잇되고 윈도우 명령 프롬프트가 실행된다. 그 다음에는 관련 cmd.exe 파일에 공격자의 도메인에 연결하는 악성 셸 코드가 삽입된다.

MorphisecLabs는 “2018년 2월 22일 대규모 malspam 캠페인에서 최신 플래시 취약점 CVE-2018-4878을 익스플로잇한 악의적인 워드 문서를 여러개 발견했다. 워드 문서를 다운로드 받고 열게 되면 해당 취약점이 익스플로잇되고, 악성 도메인으로 연결되는 셸 코드가 원격으로 삽입된다”고 설명했다. 그런 다음 셸 코드는 화이트리스트 솔루션을 우회하기 위한 마이크로소프트 등록 서버 유틸리티를 사용해 실행되는 같은 도메인의 dll을 다운로드 한다.

보안전문가에 따르면 제한된 수의 보안 솔루션만이 미끼용 문서를 악성으로 분류했다고 한다.

★정보보안 대표 미디어 데일리시큐!★