Home > Security

북한 연구자 노린 공격, 플래시 제로데이 취약점 활용

  |  입력 : 2018-02-02 11:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
일부만 겨냥한 표적형 공격...CVE-2018-4879이라는 제로데이도 활용
국가가 지원한 해커일 가능성 높아...라자루스 의심되지만 특정짓기 어려워


[보안뉴스 문가용 기자] 대한민국의 일부 사용자들을 노린 사이버 범죄에 어도비 플래시의 취약점이 악용되었다는 사실이 드러났고, 이를 어도비도 확인했다.

문제의 취약점은 플래시 플레이어 액티브액스 28.0.0.137 및 이하 버전에서 발견된 제로데이, UaF 취약점으로, CVE-2018-4878이라는 번호를 부여 받았다. 익스플로잇이 성공할 경우 원격에서 코드 실행이 가능하게 된다.

[이미지 = iclickart]


SANS 인터넷 스톰 센터(SANS Internet Storm Center)의 책임자인 요하네스 울리히(Johannes Ullrich)는 “제로데이 익스플로잇인데다가 표적형 공격에 활용되었다는 정황을 미뤄봤을 때 국가를 등에 업고 활동하는 해커들의 소행일 가능성이 높아 보인다”고 분석했다.

“공격의 대상은 북한을 연구하는 소수의 개인들이었습니다. 다른 단체나 조직이 아니고 북한을 연구하는 사람들 중 일부만 노리고 공격한 것이죠. 사이버전 부대의 전형적인 행위입니다. 누가 북한을 연구하는 특정 사람들에게 제로데이 익스플로잇까지 써가며 공격을 하겠습니까? 얼마나 비효율적인데요. 그렇다고 반드시 북한을 특정 짓는 건 아닙니다.”

하지만 한국에서 북한을 연구하는 사이버 전문가들은 북한을 특정 짓는다. 한 전문가는 “11월 중순부터 북한의 제로데이 익스플로잇 행위가 있어왔다”고 개인 SNS를 통해 밝히기도 했다.

보안 업체 피델리스 시큐리티(Fidelis Security)의 위협 시스템 관리자인 존 밤베넥(John Bambenek)은 “이념이나 사상과 상관이 있는 동기로 움직인 공격자가 소수의 표적만을 노려 공격한다는 건 라자루스 그룹(Lazarus Group)의 활동을 의심할 수밖에 없게 만든다”고 말한다. 다만 “기술적으로 이를 확실히 입증하기가 힘들 뿐”이다. “그러나 라자루스 그룹이 제로데이 익스플로잇을 자체적으로 개발, 활용한 사례는 그 동안 없었다는 점도 생각해야 합니다.”

위 플래시 취약점은 윈도우 사용자들을 대상으로 익스플로잇이 되었다. 멀웨어가 뒤섞인 플래시 콘텐츠가 임베드 된 오피스 문서가 첨부된 이메일이 소수 몇 사람에게 배송되었고, 이를 무심코 열었다가 공격에 당한 것이다. “이 공격이 성공하면 피해자는 사실상 시스템에 대한 통제권을 공격자에게 빼앗기게 된다”고 어도비는 설명했다.

아직 이 문제를 해결해주는 패치가 나오지는 않았다. 패치가 나오는 동안 플래시 플레이어 27을 윈도우 7 및 이하 버전에서 사용하는 사람들이 할 수 있는 일이 몇 가지 있다. “플래시 콘텐츠가 인터넷 익스플로러에서 돌아가야 할 때 반드시 사용자에게 허락을 받을 수 있도록 환경설정을 해야 합니다. 오피스에서는 Protected View 모드도 활성화시키는 게 도움이 됩니다.”

위 공격에 활용된 제로데이 취약점이 발견된 제품은 다음과 같다.
1) Adobe Flash Player Desktop Runtime on Windows and Mac
2) Flash Player for Google Chrome on Windows, Mac, Linux, Chrome OS
3) Flash for Microsoft Edge and Internet Explorer 11 on Windows 10 and 8.1
4) Flash Player Desktop Runtime on Linux

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)