요약 : 보안 외신 해커뉴스에 의하면 MS 오피스 생태계에 7년 전부터 존재했던 취약점을 노리는 캠페인이 발견됐다고 한다. 주로 우크라이나의 조직들을 표적으로 하고 있으며, 공격자들은 취약점을 통해 코발트스트라이크(Cobalt Strike)를 유포하는 중이라고 한다. 주요 공격 대상은 우크라이나 군 요원 및 기관들인 것으로 보이지만 다른 피해자들도 나타나고 있다. 익스플로잇 되고 있는 취약점은 CVE-2017-8570으로, CVSS 기준 7.8점을 받은 고위험 군 취약점이다. 원격 코드 실행 공격을 가능하게 한다. 공격자가 만든 파일을 피해자가 열도록 만들고, 그럼으로써 다른 도메인에 호스팅 된 스크립트가 로딩되도록 한다. 이 스크립트는 자바스크립트를 실행시키고, 이 자바스크립트는 윈도 레지스트리를 조작해 공격 지속성을 확보한 뒤 VPN 클라이언트로 위장된 파일을 다운로드 받아 실행시킨다. 이를 통해 결국에는 코발트스트라이크가 설치된다.
[이미지 = gettyimagesbank]
배경 : 아직까지 공격의 배후 세력은 정확히 알 수 없다. 하지만 러시아의 샌드웜(Sandworm)이 주로 우크라이나의 사회 기반 시설을 노려오긴 했었다. 러시아의 APT 조직들은 러-우 전쟁 개시 이후 꾸준히 해커들을 동원해 우크라이나를 공략하는 중이다. 코발트스트라이크는 원래 모의 해킹 도구인데 어느 순간부터 해커들이 실제 공격에 적극 활용하고 있다.
말말말 : “샌드웜은 매우 유연하며, 능동적으로 움직이는 해킹 그룹으로 러시아의 첩보 부대인 GRU와 밀접한 관계를 유지하고 있는 것으로 알려져 있습니다.” -해커뉴스-
[국제부 문가용 기자(
globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>