MSHTML에서 발견된 CVE-2021-40444 취약점의 개념증명용 코드가 발표되면서 공격자들의 관심이 심상치 않은 속도로 올라가는 중이다. 랜섬웨어 운영자들 역시 이 취약점에 대한 익스플로잇 코드를 자신들의 무기에 삽입하기 시작했다.
[보안뉴스 문가용 기자] 이번 주 정기 패치를 발표한 마이크로소프트가 “MSHTML에서 발견된 취약점을 공략하는 해커들의 행위가 늘어나고 있다”고 재차 경고했다. 패치가 나오면서 기술적인 세부 사항이 같이 공개됐는데, 이것이 공격자들에게 도움이 된 것 같다. 또한 어떤 보안 전문가의 개념증명용 익스플로잇 코드도 공개됐는데, 이 역시 공격자들에가 더 이득이 되고 있다고 MS는 설명했다. MSHTML에서 발견된 취약점은 CVE-2021-40444이다.
[이미지 = utoimage]
MS가 말하는 개념증명용 익스플로잇 코드는 9월 8일에 공개되었다고 한다. “코드 공개 직후 공격자들은 너도 나도 이 코드를 자신들의 공격 도구에 삽입하기 시작했습니다. ‘서비스형 랜섬웨어’ 운영자들도 마찬가지입니다. 그 외에 트릭봇(TrickBot)과 바자로더(BazarLoader)와 같은 백도어들이 유포되던 공격 인프라를 통한 익스플로잇 시도도 발견되고 있습니다.” MS 측의 설명이다.
MS가 발견한 것을 보안 업체 리스크아이큐(RiskIQ)도 발견했다. 유명 랜섬웨어 운영 단체인 위자드 스파이더(Wizard Spider)가 자신들의 공격 인프라를 통해 익스플로잇을 실행하기 시작했다는 것이다. 위자드 스파이더는 류크(Ryuk)나 데브-0193(DEV-0193), UNC1878 등의 이름으로도 불린다.
리스크아이큐 측은 “류크 혹은 위자드 스파이더가 CVE-2021-40444 취약점에 관심을 보이기 시작했다는 것과, 여러 공격 인프라에서 CVE-2021-40444 익스플로잇이 보이기 시작했다는 것이 꽤나 좋지 않은 소식”이라고 설명한다.
“CVE-2021-40444는 불과 얼마 전까지 제로데이 취약점이었습니다. 이미 강력한 힘을 자랑하는 랜섬웨어 시장에 제로데이 익스플로잇 도구가 주목을 받기 시작했다는 건 불길한 징조지요. 게다가 랜섬웨어 인프라에 제로데이 익스플로잇 도구에 준하는 위협들이 발견된다는 건, APT 그룹과 같은 고급 공격자들이 랜섬웨어 집단에 섞여서 자신들의 공격 행위를 쉽게 감출 수 있다는 뜻도 됩니다.”
CVE-2021-40444를 익스플로잇 하는 데 성공하게 될 경우 공격자는 액티브X 컨트롤을 통해 악성 소프트웨어를 피해자의 시스템에 심을 수 있게 된다. 보통 이 악성 액티브X 컨트롤은 가짜 오피스 문서를 통해 전달되고, 피해자가 이 문서를 열어야만 취약점이 발동된다. 현재까지 이런 식으로 취약점을 발동시킨 공격자들은 주로 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon) 로더를 심고 있다고 한다. 코발트 스트라이크는 합법적인 침투 테스트 도구이지만 사이버 범죄자들 사이에서도 굉장한 인기를 얻고 있다.
CVE-2021-40444는 이미 8월 중순부터 몇몇 해킹 단체들의 손에 익스플로잇 되어 왔다. MS가 이를 인지하고 보안 권고문과 위험 완화 대책을 발표한 게 9월 7일이고 패치를 배포하기 시작한 것이 9월 14일이다. 즉 한 달 정도는 이 취약점이 제로데이로서 일부 공격자들의 손에 공략당하고 있었다는 것인데, MS에 의하면 패치 발표가 있기 전까지 이 공격들은 대부분 ‘고도의 표적 공격’이었다고 한다.
“그 한 달 동안 표적형 제로데이 공격을 받은 건 전 세계 10개 조직도 되지 않습니다. 법 문서나 구인/구직 자료로 위장되어 있는 피싱 문건들을 통해 익스플로잇이 일어났습니다. 악성 문서는 피싱 메일만이 아니라 일반적인 파일 공유 서비스들을 통해서도 전달됐습니다.” MS의 설명이다.
그런데 익스플로잇이 공개되고(9월 8일), 패치가 나온 후부터 익스플로잇 시도가 광범위하게 벌어지기 시작했다. “갑자기 수백~수천 개의 조직들에서 공격이 탐지되기 시작했습니다. 따라서 14일에 발표된 패치를 시급히 적용하는 게 필요합니다.”
MS 생태계에서는 이런 일이 올해 초에도 발생했었다. MS 익스체인지 서버에서 제로데이 취약점이 네 개 발견되었던 사건으로, 발견 당시만 하더라도 일부 APT 단체들만이 특정 표적들을 대상으로 이 취약점을 익스플로잇 하고 있었다. 하지만 제로데이 취약점이 대대적으로 공개되고 익스플로잇까지 나오면서 갑자기 너도나도 익스플로잇 하는 취약점이 되어버렸다. MS도 처음에는 “일부 소수의 사용자들만 공격을 받고 있다”고 경고했었는데, 사태가 갑자기 커지면서 이 발언은 비판을 받기도 했다.
3줄 요약
1. MS가 이번 주 패치한 CVE-2021-40444 취약점, 거센 익스플로잇에 노출되고 있음.
2. 올해 초 MS 익스체인지 서버 사태가 그러했듯, 이번 취약점도 큰 주목을 받는 중.
3. 익스플로잇 성공시키고 코발트 스트라이크 심는 행위가 많이 목격되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 이번 주 정기 패치를 발표한 마이크로소프트가 “MSHTML에서 발견된 취약점을 공략하는 해커들의 행위가 늘어나고 있다”고 재차 경고했다. 패치가 나오면서 기술적인 세부 사항이 같이 공개됐는데, 이것이 공격자들에게 도움이 된 것 같다. 또한 어떤 보안 전문가의 개념증명용 익스플로잇 코드도 공개됐는데, 이 역시 공격자들에가 더 이득이 되고 있다고 MS는 설명했다. MSHTML에서 발견된 취약점은 CVE-2021-40444이다.
[이미지 = utoimage]
MS가 말하는 개념증명용 익스플로잇 코드는 9월 8일에 공개되었다고 한다. “코드 공개 직후 공격자들은 너도 나도 이 코드를 자신들의 공격 도구에 삽입하기 시작했습니다. ‘서비스형 랜섬웨어’ 운영자들도 마찬가지입니다. 그 외에 트릭봇(TrickBot)과 바자로더(BazarLoader)와 같은 백도어들이 유포되던 공격 인프라를 통한 익스플로잇 시도도 발견되고 있습니다.” MS 측의 설명이다.
MS가 발견한 것을 보안 업체 리스크아이큐(RiskIQ)도 발견했다. 유명 랜섬웨어 운영 단체인 위자드 스파이더(Wizard Spider)가 자신들의 공격 인프라를 통해 익스플로잇을 실행하기 시작했다는 것이다. 위자드 스파이더는 류크(Ryuk)나 데브-0193(DEV-0193), UNC1878 등의 이름으로도 불린다.
리스크아이큐 측은 “류크 혹은 위자드 스파이더가 CVE-2021-40444 취약점에 관심을 보이기 시작했다는 것과, 여러 공격 인프라에서 CVE-2021-40444 익스플로잇이 보이기 시작했다는 것이 꽤나 좋지 않은 소식”이라고 설명한다.
“CVE-2021-40444는 불과 얼마 전까지 제로데이 취약점이었습니다. 이미 강력한 힘을 자랑하는 랜섬웨어 시장에 제로데이 익스플로잇 도구가 주목을 받기 시작했다는 건 불길한 징조지요. 게다가 랜섬웨어 인프라에 제로데이 익스플로잇 도구에 준하는 위협들이 발견된다는 건, APT 그룹과 같은 고급 공격자들이 랜섬웨어 집단에 섞여서 자신들의 공격 행위를 쉽게 감출 수 있다는 뜻도 됩니다.”
CVE-2021-40444를 익스플로잇 하는 데 성공하게 될 경우 공격자는 액티브X 컨트롤을 통해 악성 소프트웨어를 피해자의 시스템에 심을 수 있게 된다. 보통 이 악성 액티브X 컨트롤은 가짜 오피스 문서를 통해 전달되고, 피해자가 이 문서를 열어야만 취약점이 발동된다. 현재까지 이런 식으로 취약점을 발동시킨 공격자들은 주로 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon) 로더를 심고 있다고 한다. 코발트 스트라이크는 합법적인 침투 테스트 도구이지만 사이버 범죄자들 사이에서도 굉장한 인기를 얻고 있다.
CVE-2021-40444는 이미 8월 중순부터 몇몇 해킹 단체들의 손에 익스플로잇 되어 왔다. MS가 이를 인지하고 보안 권고문과 위험 완화 대책을 발표한 게 9월 7일이고 패치를 배포하기 시작한 것이 9월 14일이다. 즉 한 달 정도는 이 취약점이 제로데이로서 일부 공격자들의 손에 공략당하고 있었다는 것인데, MS에 의하면 패치 발표가 있기 전까지 이 공격들은 대부분 ‘고도의 표적 공격’이었다고 한다.
“그 한 달 동안 표적형 제로데이 공격을 받은 건 전 세계 10개 조직도 되지 않습니다. 법 문서나 구인/구직 자료로 위장되어 있는 피싱 문건들을 통해 익스플로잇이 일어났습니다. 악성 문서는 피싱 메일만이 아니라 일반적인 파일 공유 서비스들을 통해서도 전달됐습니다.” MS의 설명이다.
그런데 익스플로잇이 공개되고(9월 8일), 패치가 나온 후부터 익스플로잇 시도가 광범위하게 벌어지기 시작했다. “갑자기 수백~수천 개의 조직들에서 공격이 탐지되기 시작했습니다. 따라서 14일에 발표된 패치를 시급히 적용하는 게 필요합니다.”
MS 생태계에서는 이런 일이 올해 초에도 발생했었다. MS 익스체인지 서버에서 제로데이 취약점이 네 개 발견되었던 사건으로, 발견 당시만 하더라도 일부 APT 단체들만이 특정 표적들을 대상으로 이 취약점을 익스플로잇 하고 있었다. 하지만 제로데이 취약점이 대대적으로 공개되고 익스플로잇까지 나오면서 갑자기 너도나도 익스플로잇 하는 취약점이 되어버렸다. MS도 처음에는 “일부 소수의 사용자들만 공격을 받고 있다”고 경고했었는데, 사태가 갑자기 커지면서 이 발언은 비판을 받기도 했다.
3줄 요약
1. MS가 이번 주 패치한 CVE-2021-40444 취약점, 거센 익스플로잇에 노출되고 있음.
2. 올해 초 MS 익스체인지 서버 사태가 그러했듯, 이번 취약점도 큰 주목을 받는 중.
3. 익스플로잇 성공시키고 코발트 스트라이크 심는 행위가 많이 목격되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
