한국 대상으로 7개 공격 감행
[테크월드=정환용 기자] 시스코의 보안 인텔리전스 그룹 탈로스(Talos)가 어도비(Adobe)의 취약점을 악용한 공격에 그룹123(Group123)이 연루돼 있다고 밝혔다.
탈로스는 이에 대한 분석리포트 ‘플래시 플레이어 제로데이 취약점 공격 성행: 그룹 123 연루’를 발표하며 “지난 1월 ‘그룹123’이라 불리는 단체가 2017년 말부터 2018년 초까지 한국을 대상으로 7개의 공격을 감행했다”고 발표했다. 시스코 탈로스는 그룹123의 위협을 지속적으로 모니터링할 것이라고 언급했다.
지난 2월 1일 어도비는 플래시 플레이어 취약점(CVE-2018-4878)에 관한 권고안을 발표한 바 있다. 이 취약점은 조작된 플래시 개체를 통해 원격 코드 실행(RCE)를 감행하는 일종의 UAF(Use After Free) 형태로, 한국 인증기관 KISA도 플래시 플레이어 제로데이 취약점에 대한 권고안을 발표했다.
탈로스의 조사에 따르면, 해커는 마이크로소프트 엑셀 문서에 플래시 개체를 포함시키고, 이를 조작하는 방법으로 이 취약점을 악용하고 있는 것으로 나타났다. 감염된 엑셀 문서에는 SWF 파일인 액티브X 개체가 포함돼 있다. CVE-2018-4878 UAF 취약점은 감염된 악성 웹사이트에서 페이로드를 추가로 다운로드한다. 이 페이로드는 메모리에 로드돼 실행되는 쉘코드로, 지난 2017년 11월부터 발견된 것으로 파악됐다.
이때 다운로드되는 페이로드는 ‘ROKRAT’이라는 널리 알려진 원격 관리 도구인 것으로 확인됐다. 탈로스는 이전부터 이 RAT을 여러 방면에서 다룬 바 있는데, 이번 사례의 특이점은 문서를 탈취하고 감염된 시스템을 관리하기 위해 클라우드 플랫폼이 동원된다는 것이다.
이번 플래시 제로데이 공격에 연루된 그룹 123은 최신 ROKRAT 페이로드와 함께 엘리트 범죄조직으로 발전하고 있다. 이들은 어도비 플래시 플레이어 제로데이 취약점의 고전적인 악용 수법을 탈피해, 완전히 새로운 악용 수법을 사용하고 있다. 탈로스의 관계자는 “그룹 123은 매우 숙련된 단체로, 이 전에 볼 수 없었던 새로운 익스플로잇을 사용했다. 이런 점을 볼 때 공격자 그룹은 공격이 성공할 것이라는 확신을 갖고 있었다는 것을 짐작할 수 있다”고 언급했다.
그래도 삭제하시겠습니까?