최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

최근 IE 제로데이 취약점, 특정 정부 지원 받는 해킹 그룹들이 적극 활용중

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

악성코드 제작자들이 사이트의 방문자들을 악성코드에 감염시키기 위해 사용하는 웹 기반 툴킷 RIG 익스플로잇 키트에 지난 달 발견 된 인터넷 익스플로러(IE)의 제로데이 취약점(CVE-2018-8174)이 추가된 것으로 나타났다.

 

한편 지난 4월 모 보안기업은 이 인터넷 익스플로러 제로데이 취약점을 사용해 북한 정부의 지원을 받는 해킹 그룹이 적극적으로 해킹에 활용하고 있다고 전한 바 있다.

 

이 취약점은 인터넷 익스플로러와 마이크로소프트 오피스에 포함 된 비쥬얼 베이직 스크립팅 엔진인 VBScript에 영향을 미친다.

 

이 공격을 발견한 연구원들은 MS에 이를 제보했고 MS는 지난 5월 ‘패치 화요일’ 보안 업데이트를 통해 이를 패치했다.

 

한편 연구원들은 이 제로데이 취약점의 새로운 악용 체인을 발견해 'double kill'이라 명명했다. 이는 깃허브에 공개 된 PoC 코드를 기반으로 하고 있었고 또 PoC가 공개 되고 얼마 지나지 않아 메타스플로잇 모듈도 공개 되었다.

 

RIG 익스플로잇 키트는 약 1주일이 넘는 기간 동안 이 취약점을 무기화 한 새로운 익스플로잇을 사용하고 있었다.

 

공격자들은 정식 사이트의 트래픽을 하이재킹하고 IE 사용자들을 RIG 익스플로잇 키트를 호스팅하는 웹페이지로 이동시켰다. 이후 RIG 익스플로잇 키트는 CVE-2018-8174를 악용해 피해자를 'Smoke Loader' 악성코드에 감염시키려고 시도했다.

 

Smoke Loader는 악성코드 드롭퍼로 알려져 있으며, 추가 지시에 따라 사용자의 컴퓨터에 은밀히 가상화폐를 채굴하는 또 다른 악성코드를 다운로드 및 설치할 수 있다.

 

연구원들은 "초기 북한의 해커들이 이 취약점을 악용해 적은 수의 타겟만을 노렸지만, 지금은 다른 모든 제로데이 취약점들과 같이 선택 된 자들만이 아닌 모든 사용자들을 노리고 있는 것으로 조사됐다"며 "RIG 익스플로잇 키트는 CVE-2018-8174가 업데이트 되기 전에는 1년이 넘게 새로운 업데이트가 없었다. 또한 RIG 이외에도 잘 알려진 해킹그룹인 Cobalt도 은행 및 금융 부문을 공격하기 위해 CVE-2018-8174를 악용하고 있는 것으로 추정된다"고 전했다.

  • 데일리시큐 로고
  • 길민권 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.