이번 주 패치된 MS 제로데이 겨냥한 사이버 공격, 급증하고 있어

2021-09-17 15:01
  • 카카오톡
  • url
MSHTML에서 발견된 CVE-2021-40444 취약점의 개념증명용 코드가 발표되면서 공격자들의 관심이 심상치 않은 속도로 올라가는 중이다. 랜섬웨어 운영자들 역시 이 취약점에 대한 익스플로잇 코드를 자신들의 무기에 삽입하기 시작했다.

[보안뉴스 문가용 기자] 이번 주 정기 패치를 발표한 마이크로소프트가 “MSHTML에서 발견된 취약점을 공략하는 해커들의 행위가 늘어나고 있다”고 재차 경고했다. 패치가 나오면서 기술적인 세부 사항이 같이 공개됐는데, 이것이 공격자들에게 도움이 된 것 같다. 또한 어떤 보안 전문가의 개념증명용 익스플로잇 코드도 공개됐는데, 이 역시 공격자들에가 더 이득이 되고 있다고 MS는 설명했다. MSHTML에서 발견된 취약점은 CVE-2021-40444이다.


[이미지 = utoimage]

MS가 말하는 개념증명용 익스플로잇 코드는 9월 8일에 공개되었다고 한다. “코드 공개 직후 공격자들은 너도 나도 이 코드를 자신들의 공격 도구에 삽입하기 시작했습니다. ‘서비스형 랜섬웨어’ 운영자들도 마찬가지입니다. 그 외에 트릭봇(TrickBot)과 바자로더(BazarLoader)와 같은 백도어들이 유포되던 공격 인프라를 통한 익스플로잇 시도도 발견되고 있습니다.” MS 측의 설명이다.

MS가 발견한 것을 보안 업체 리스크아이큐(RiskIQ)도 발견했다. 유명 랜섬웨어 운영 단체인 위자드 스파이더(Wizard Spider)가 자신들의 공격 인프라를 통해 익스플로잇을 실행하기 시작했다는 것이다. 위자드 스파이더는 류크(Ryuk)나 데브-0193(DEV-0193), UNC1878 등의 이름으로도 불린다.

리스크아이큐 측은 “류크 혹은 위자드 스파이더가 CVE-2021-40444 취약점에 관심을 보이기 시작했다는 것과, 여러 공격 인프라에서 CVE-2021-40444 익스플로잇이 보이기 시작했다는 것이 꽤나 좋지 않은 소식”이라고 설명한다.

“CVE-2021-40444는 불과 얼마 전까지 제로데이 취약점이었습니다. 이미 강력한 힘을 자랑하는 랜섬웨어 시장에 제로데이 익스플로잇 도구가 주목을 받기 시작했다는 건 불길한 징조지요. 게다가 랜섬웨어 인프라에 제로데이 익스플로잇 도구에 준하는 위협들이 발견된다는 건, APT 그룹과 같은 고급 공격자들이 랜섬웨어 집단에 섞여서 자신들의 공격 행위를 쉽게 감출 수 있다는 뜻도 됩니다.”

CVE-2021-40444를 익스플로잇 하는 데 성공하게 될 경우 공격자는 액티브X 컨트롤을 통해 악성 소프트웨어를 피해자의 시스템에 심을 수 있게 된다. 보통 이 악성 액티브X 컨트롤은 가짜 오피스 문서를 통해 전달되고, 피해자가 이 문서를 열어야만 취약점이 발동된다. 현재까지 이런 식으로 취약점을 발동시킨 공격자들은 주로 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon) 로더를 심고 있다고 한다. 코발트 스트라이크는 합법적인 침투 테스트 도구이지만 사이버 범죄자들 사이에서도 굉장한 인기를 얻고 있다.

CVE-2021-40444는 이미 8월 중순부터 몇몇 해킹 단체들의 손에 익스플로잇 되어 왔다. MS가 이를 인지하고 보안 권고문과 위험 완화 대책을 발표한 게 9월 7일이고 패치를 배포하기 시작한 것이 9월 14일이다. 즉 한 달 정도는 이 취약점이 제로데이로서 일부 공격자들의 손에 공략당하고 있었다는 것인데, MS에 의하면 패치 발표가 있기 전까지 이 공격들은 대부분 ‘고도의 표적 공격’이었다고 한다.

“그 한 달 동안 표적형 제로데이 공격을 받은 건 전 세계 10개 조직도 되지 않습니다. 법 문서나 구인/구직 자료로 위장되어 있는 피싱 문건들을 통해 익스플로잇이 일어났습니다. 악성 문서는 피싱 메일만이 아니라 일반적인 파일 공유 서비스들을 통해서도 전달됐습니다.” MS의 설명이다.

그런데 익스플로잇이 공개되고(9월 8일), 패치가 나온 후부터 익스플로잇 시도가 광범위하게 벌어지기 시작했다. “갑자기 수백~수천 개의 조직들에서 공격이 탐지되기 시작했습니다. 따라서 14일에 발표된 패치를 시급히 적용하는 게 필요합니다.”

MS 생태계에서는 이런 일이 올해 초에도 발생했었다. MS 익스체인지 서버에서 제로데이 취약점이 네 개 발견되었던 사건으로, 발견 당시만 하더라도 일부 APT 단체들만이 특정 표적들을 대상으로 이 취약점을 익스플로잇 하고 있었다. 하지만 제로데이 취약점이 대대적으로 공개되고 익스플로잇까지 나오면서 갑자기 너도나도 익스플로잇 하는 취약점이 되어버렸다. MS도 처음에는 “일부 소수의 사용자들만 공격을 받고 있다”고 경고했었는데, 사태가 갑자기 커지면서 이 발언은 비판을 받기도 했다.

3줄 요약
1. MS가 이번 주 패치한 CVE-2021-40444 취약점, 거센 익스플로잇에 노출되고 있음.
2. 올해 초 MS 익스체인지 서버 사태가 그러했듯, 이번 취약점도 큰 주목을 받는 중.
3. 익스플로잇 성공시키고 코발트 스트라이크 심는 행위가 많이 목격되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 유니뷰코리아

    • 웹게이트

    • 한화시스템

    • 하이크비전코리아

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 비전정보통신

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 다누시스

    • 엔토스정보통신

    • ITX_AI

    • Tiandy

    • 성현시스템

    • 씨엠아이텍

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • 아이쓰리시스템(주)

    • (주)동양유니텍

    • (주)투윈스컴

    • A3시큐리티

    • CVT

    • AIS테크놀러지

    • (주)씨유박스

    • 이오씨

    • (주)에펠

    • (주)우경정보기술

    • 디비시스
      CCTV토탈솔루션

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 보쉬빌딩테크놀러지

    • 주식회사 비앤에스

    • (주)디지탈센스

    • 티에스아이솔루션
      출입 통제 솔루션

    • (주)넥스트림

    • 오피어(Ophir)

    • AhnLab

    • 신우테크
      팬틸드 / 하우징

    • (주)에프에스네트웍스

    • (주)에이앤티코리아

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)케이엠티

    • (주)알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • (주)모스타

    • 수퍼락
      출입통제시스템

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • NS게이트(주)

    • 다원테크

    • 구네보코리아주식회사

    • (주)일산정밀

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스
      카메라 렌즈

    • 플랜비

    • 주식회사 에스카

    • 포커스테크

    • (주)네이즈

    • (주)에이앤티글로벌

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지엘에스이

    • 글로넥스
      카드리더 / 데드볼트

    • (주)이스트컨트롤

    • 메트로게이트
      시큐리티 게이트

    • 이후커뮤니케이션

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • (주)유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기