최근 익스플로잇 된 MS 제품들의 제로데이 취약점...한국 기업 겨냥
이전 위자드오피움 공격과 비슷...한국의 APT 단체라고 보이는 다크호텔이 유력
[보안뉴스 문가용 기자] 2020년 5월, 한국의 한 기업이 해킹 공격을 받았다. 보안 업체 카스퍼스키(Kaspersky)가 발표한 바에 따르면 당시 공격자들은 윈도우와 인터넷 익스플로러에 있던 제로데이 취약점들을 연쇄적으로 익스플로잇 했었다고 한다.
[이미지 = utoimage]
이 해킹 공격은 ‘파워폴 작전(Operation PowerFall)’의 일환으로 이뤄졌던 것으로, 배후에 다크호텔(DarkHotel)이라는 APT 단체가 있을 것이 가장 유력해 보인다고 한다. 다크호텔은 북한과 관련이 있는 단체들을 주로 공격하는 해킹 그룹으로, 일각에서는 한국의 APT로도 알려져 있다.
하지만 카스퍼스키는 “파워폴 작전의 배후에 다크호텔이 있다고 아직 정확히 말할 단계는 아니”라고 강조했다. “여러 흔적들이 유사할 뿐, 명확한 증거가 되지는 않는다”는 게 그 이유다.
명확한 건 공격자들의 공격 전략이다. 이들은 발견 당시에는 ‘제로데이’였던 취약점 두 개를 익스플로잇 했었다.
두 개 중 하나는 CVE-2020-1380이다. 이번 달 MS 정기 패치를 통해 해결이 된 취약점이다. 인터넷 익스플로러 11에서 발견됐으며, 특수하게 조작된 웹사이트나 문서를 열도록 피해자를 속임으로써 익스플로잇이 가능하다. 성공할 경우 원격에서 코드를 실행할 수 있게 된다. 악성 광고를 활용한 멀버타이징 공격도 있을 수 있다고 한다.
하지만 인터넷 익스플로러는 고립 원리가 내제되어 있어, 이 취약점만 가지고는 공격자들에게 커다란 도움이 되지 않는다. 그렇기 때문에 파워폴 작전의 공격자들은 CVE-2020-0986이라는 또 다른 제로데이 취약점을 함께 공격한 것이다. CVE-2020-0986은 윈도우 모든 버전에서 발견된 권한 상승 취약점이다.
CVE-2020-0986은 MS의 6월 정기 패치를 통해 해결이 된 바 있다. MS에는 2019년 12월에 처음 보고되었지만, 6개월이나 지나서야 패치가 나온 것이다. 때문에 취약점을 처음 보고한 트렌드 마이크로(Trend Micro)의 ZDI 프로젝트 운영 팀은 5월에 이미 취약점을 공개했었고, 실제 익스플로잇은 공개 바로 다음 날부터 발견되기 시작했다.
트렌드 마이크로에 의하면 해당 익스플로잇 시도는 최신 윈도우 10 빌드들을 겨냥해서 발생했다고 한다. 또한 또 다른 제로데이와 연계하여 공격이 이뤄졌음 또한 밝혀졌는데, 이러한 방식은 이전 윈도우 제로데이와 크롬 제로데이의 연쇄 익스플로잇을 통해 목격된 바 있었다. 윈도우 제로데이와 크롬 제로데이를 연쇄적으로 공격한 건 ‘위자드오피움 작전(Operation WizardOpium)’이라고 알려져 있으며, 역시 다크호텔의 소행으로 의심되고 있다.
파워폴 작전의 배후 세력은 연쇄 익스플로잇을 통해 멀웨어를 배포하려던 것으로 보인다. 하지만 카스퍼스키 측은 아직 최종 페이로드를 분석할 수 없었다고 한다. 왜냐하면 공격 표적이 되고 있던 곳에서 해당 공격을 탐지해 최종 페이로드가 다운로드 되는 걸 막았기 때문이다. 즉 다크호텔로 보이는 공격자들의 진짜 목표는 미궁 속에 갇혀 있는 상태다.
3줄 요약
1. 다크호텔이라는 APT 그룹, 지난 5월 한국의 한 기업을 공격.
2. 이 공격에는 ‘파워폴 작전’이라는 이름이 붙음. 이전 ‘위자드오피움 작전’과 유사함.
3. 하지만 방어에 성공하면서 최종 페이로드를 확보하는 것은 실패.
[국제부 문가용 기자(globoan@boannews.com)]
이전 위자드오피움 공격과 비슷...한국의 APT 단체라고 보이는 다크호텔이 유력
[보안뉴스 문가용 기자] 2020년 5월, 한국의 한 기업이 해킹 공격을 받았다. 보안 업체 카스퍼스키(Kaspersky)가 발표한 바에 따르면 당시 공격자들은 윈도우와 인터넷 익스플로러에 있던 제로데이 취약점들을 연쇄적으로 익스플로잇 했었다고 한다.
[이미지 = utoimage]
이 해킹 공격은 ‘파워폴 작전(Operation PowerFall)’의 일환으로 이뤄졌던 것으로, 배후에 다크호텔(DarkHotel)이라는 APT 단체가 있을 것이 가장 유력해 보인다고 한다. 다크호텔은 북한과 관련이 있는 단체들을 주로 공격하는 해킹 그룹으로, 일각에서는 한국의 APT로도 알려져 있다.
하지만 카스퍼스키는 “파워폴 작전의 배후에 다크호텔이 있다고 아직 정확히 말할 단계는 아니”라고 강조했다. “여러 흔적들이 유사할 뿐, 명확한 증거가 되지는 않는다”는 게 그 이유다.
명확한 건 공격자들의 공격 전략이다. 이들은 발견 당시에는 ‘제로데이’였던 취약점 두 개를 익스플로잇 했었다.
두 개 중 하나는 CVE-2020-1380이다. 이번 달 MS 정기 패치를 통해 해결이 된 취약점이다. 인터넷 익스플로러 11에서 발견됐으며, 특수하게 조작된 웹사이트나 문서를 열도록 피해자를 속임으로써 익스플로잇이 가능하다. 성공할 경우 원격에서 코드를 실행할 수 있게 된다. 악성 광고를 활용한 멀버타이징 공격도 있을 수 있다고 한다.
하지만 인터넷 익스플로러는 고립 원리가 내제되어 있어, 이 취약점만 가지고는 공격자들에게 커다란 도움이 되지 않는다. 그렇기 때문에 파워폴 작전의 공격자들은 CVE-2020-0986이라는 또 다른 제로데이 취약점을 함께 공격한 것이다. CVE-2020-0986은 윈도우 모든 버전에서 발견된 권한 상승 취약점이다.
CVE-2020-0986은 MS의 6월 정기 패치를 통해 해결이 된 바 있다. MS에는 2019년 12월에 처음 보고되었지만, 6개월이나 지나서야 패치가 나온 것이다. 때문에 취약점을 처음 보고한 트렌드 마이크로(Trend Micro)의 ZDI 프로젝트 운영 팀은 5월에 이미 취약점을 공개했었고, 실제 익스플로잇은 공개 바로 다음 날부터 발견되기 시작했다.
트렌드 마이크로에 의하면 해당 익스플로잇 시도는 최신 윈도우 10 빌드들을 겨냥해서 발생했다고 한다. 또한 또 다른 제로데이와 연계하여 공격이 이뤄졌음 또한 밝혀졌는데, 이러한 방식은 이전 윈도우 제로데이와 크롬 제로데이의 연쇄 익스플로잇을 통해 목격된 바 있었다. 윈도우 제로데이와 크롬 제로데이를 연쇄적으로 공격한 건 ‘위자드오피움 작전(Operation WizardOpium)’이라고 알려져 있으며, 역시 다크호텔의 소행으로 의심되고 있다.
파워폴 작전의 배후 세력은 연쇄 익스플로잇을 통해 멀웨어를 배포하려던 것으로 보인다. 하지만 카스퍼스키 측은 아직 최종 페이로드를 분석할 수 없었다고 한다. 왜냐하면 공격 표적이 되고 있던 곳에서 해당 공격을 탐지해 최종 페이로드가 다운로드 되는 걸 막았기 때문이다. 즉 다크호텔로 보이는 공격자들의 진짜 목표는 미궁 속에 갇혀 있는 상태다.
3줄 요약
1. 다크호텔이라는 APT 그룹, 지난 5월 한국의 한 기업을 공격.
2. 이 공격에는 ‘파워폴 작전’이라는 이름이 붙음. 이전 ‘위자드오피움 작전’과 유사함.
3. 하지만 방어에 성공하면서 최종 페이로드를 확보하는 것은 실패.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)