러시아가 일으킨 케르치 해협 사태 직후, 러시아 병원에 사이버 공격 발생
멀웨어, 이탈리아 해킹팀의 제품과 유사...북한의 공격도 떠올리게 해

[보안뉴스 문가용 기자] 현지 시각으로 수요일, 어도비는 플래시 플레이어에서 발견된 취약점 두 가지에 대한 패치를 발표했다. 그 중 하나는 러시아의 의료 단체를 겨냥한 공격에 이미 활용된 치명적인 오류라고 한다. 이 공격자들은 최근 러시아와 우크라이나 사이에서 발생한 ‘케르치 해협 사태’와 관련이 있을 수도 있어 주목을 받고 있다.


[이미지 = iclickart]

어도비의 권고문에 따르면 이 취약점은 CVE-2018-15982라고 하며, UaF(Use-after-Free) 취약점의 일종이다. 익스플로잇 될 경우 임의의 코드 실행이 가능하지만, 플래시 플레이어 32.0.0.101 버전(윈도우, 맥OS, 리눅스, 크롬OS)을 통해 패치가 완료됐다. 가장 무서운 점은 이 취약점을 겨냥한 공격이 실제로 존재한다는 것이라고 어도비는 강조했다.

이 취약점을 발견하는 데 도움을 준 건 세 기업이라고 어도비는 밝혔다. 클라우드 보안 업체 기가몬(Gigamon)의 한 팀, 중국의 보안 업체 치후360(Qihoo 360)의 두 팀이다. 독립적으로 활동하는 보안 전문가 1인도 이 취약점을 발견해 어도비로 알렸다고 한다.

치후 360은 자사 블로그를 통해 CVE-2018-15982에 대한 상세 내용을 올리기도 했다. 취약점에 대한 기술적 내용은 물론 익스플로잇 방법까지도 공개됐다. 기가몬 역시 블로그 포스트를 통해 비슷한 내용을 알려왔다.

전문가들에 의하면 이 플래시 제로데이 취약점은 러시아 연방 정부의 한 의료 기관을 노린 익스플로잇 공격에 악용됐다고 한다. 치후 360은 공격자가 “APT 그룹일 가능성이 높다”고 보고 있으며, 특수하게 조작된 문서가 담긴 RAR 아카이브 파일을 통해 익스플로잇을 피해 시스템에 전송했다고 설명한다.

이 문서가 피해 시스템에서 열릴 경우, 해당 의료 기관의 직원들을 위해 만들어진 듯한 설문지가 화면에 나타난다. 하지만 배경에서는 악성 명령이 실행되고 있다. CVE-2018-15982를 익스플로잇하는 명령이며, 이 과정에서 멀웨어 하나가 시스템에 심겨진다.

전문가들은 이 멀웨어가 “이탈리아의 스파이웨어 제작사인 해킹팀(Hacking Team)에서 만든 트로이목마와 비슷하다”고 설명한다. 해킹팀은 2015년 데이터 유출 사고를 통해 여러 툴들과 그 툴들을 사간 고객들 명단이 공개되는 바람에 사업적 위기를 맞은 바 있다. “이번 러시아 공격에서 발견된 툴은 해킹팀에서 만든 스카웃(Scout) 툴의 변종으로 보입니다.” 기가몬의 설명이다.

한편 치후 360의 전문가들은 북한 해커들이 올해 초 최초로 익스플로잇 한 CVE-2018-4878 취약점과 이번에 발견된 플래시 제로데이 취약점이 매우 유사하다는 점을 지적했다.

치후 360이 러시아 의료 기관을 공략한 캠페인을 처음 발견한 건 11월 29일의 일로, 바로 다음 날 공격의 정체를 파악해 어도비로 취약점 정보를 전송했다. 기가몬이 어도비에 오류를 보고한 건 11월 29일의 일이었다.

치후 360은 “사이버 공격이 케르치 해협 사태가 발생하고 며칠 지나지 않아 발생했다”며, “러시아가 우크라이나 선박에 발포하고, 선박은 물론 24명의 선원들을 전부 체포한 그 사건에 전 세계가 분노했다”고 공격의 동기를 조심스럽게 예측했다. 또한 체포된 선원들 중 세 명은 병원으로 실려 갔다는 보도가 있었는데, 사이버 공격자들이 그 병원으로 생각되는 곳을 이번에 공격한 것으로 보인다고 설명했다.

기가몬은 이번 공격에서 발견된 악성 문서가 이전에 우크라이나 IP 주소로부터 바이러스토탈(VirusTotal)로 업로드 된 적이 있다고 밝혔다.

3줄 요약
1. 러시아, 우크라이나 선박과 선원 체포해 전 세계 헤드라이 장식함.
2. 그 사건 이후로 러시아 병원 겨냥한 제로데이 공격 발생.
3. 어도비 플레시 플레이어의 제로데이 취약점이 연루되어 있음. 관련 패치 발표됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>