2019-08-18 12:32 (일)
MS VBScript 엔진의 제로데이 취약점, 다크호텔 APT에 악용돼...주의
상태바
MS VBScript 엔진의 제로데이 취약점, 다크호텔 APT에 악용돼...주의
  • 길민권 기자
  • 승인 2018.08.22 18:23
이 기사를 공유합니다

다크호텔, 북한 해커조직의 다크서울 악성코드와 직접적 관련있어...

cyber-security-3410923_640.jpg
VBScript 엔진 내의 취약점이 다크호텔(Darkhotel) APT에 악용됐다는 외신 보도가 나왔다. 다크호텔은 다크서울(Darkseoul) 악성코드와 직접적인 관련이 있으며 이 악성코드는 'Blockbuster operation'과도 관련이 있어 한국 기관과 기업들의 각별한 주의가 요구된다.

카스퍼스키랩은 지난 2014년 최초로 다크호텔 조직을 공개한 바 있다. 이 조직은 2007년부터 활동을 시작했으며 북한 해커 조직과 관련이 있으며 오랜 시간동안 아시아 고급 호텔에 투숙하는 기업의 고위간부 및 정부기관 대표들을 타깃으로 공격을 진행해 온 것으로 공개한 바 있다.

한편 VBScript는 윈도우와 IE11의 최신 버전에서 사용 가능하다. 하지만 최신 버전 윈도우의 브라우저 기본설정에서는 VBScript가 비활성화 됐다. 이는 취약점이 악용되는것을 막기 위한 조치다.

MS는 7월 정기 보안업데이트 하루 이후에 VBScript 취약점이 악용되고 있다는 사실을 확인했다. 이 취약은 CVE-2018-8373으로 8월 정기 보안업데이트때 패치가 된 바 있다.

해당 취약점은 메모리 손상 취약점이다. 공격자가 취약점이 존재하는 PC에서 쉘코드를 실행시킬 수 있도록 허용한다.

코드분석결과, 5월에 패치되었던 오래된 VBScript취약점인 CVE-2018-8174가 사용한 난독화 기술과 동일했다. 이 오래된 취약점은 '더블킬(Double Kill)'이라 명명되었고 중국의 치후(Qihoo) 360이 발견했다.

보안연구원들은 CVE-2018-8373 취약점 분석결과 오피스 문서중 동일한 도메인이 삽입되어 있었고, 더블킬이 사용한 코드를 다운로드한다고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★