[보안뉴스 문정후 기자] 무려 3년 전에 발견되고 패치까지 된 취약점이 최근 다시 문제가 되고 있다. 보안 업체 포티넷(Fortinet)에 의하면 이 취약점은 CVE-2021-40444로, MS 오피스 제품군에서 발견된 것이라고 한다. 이를 익스플로잇 하는 데 성공할 경우 공격자는 악성 코드를 실행할 수 있게 된다. MS는 2021년 9월 정기 패치를 통해 문제를 해결한 바 있다. 하지만 최근 공격자들은 이 취약점을 다시 익스플로잇 하며 머크스파이(MerkSpy)라는 멀웨어를 유포하는 중이다.
[이미지 = gettyimagesbank]
공격의 시작은 MS 워드 문서
공격자들은 이 취약점을 발동시키기 위해 가짜 MS 워드 문서를 만들어 피해자들에게 보낸다. 문서는 특정 직무에 관한 설명서로 위장되어 있다. 주로 소프트웨어 개발자에 관한 것으로 ‘우리 회사는 당신을 원한다’는 내용의 피싱 메일에 첨부되어 전달된다. 새로운 직장이나 경력의 기회에 혹한 피해자들이 이 메일을 열고 첨부파일까지 다운로드 받아 열면 CVE-2021-40444 취약점의 익스플로잇이 시작된다.
포티넷은 자사 블로그를 통해 “해당 취약점은 MS 오피스의 인터넷 익스플로러가 사용하는 요소인 MSHTML 내에서 발견된 것”이라고 설명한다. 또한 “사용자가 문서를 여는 행위만 하면 그 후 다른 어떤 추가 행동을 유발할 필요가 없어진다”고도 썼다. 제로클릭 취약점까지는 아니지만, 원클릭 취약점에 해당한다는 의미이며, 따라서 상당한 수준의 위협으로 분류가 가능하다.
“가짜 워드 문서를 열면 특정 URL로 접속이 되며, 거기서부터 새로운 HTML 파일 하나가 피해자의 시스템으로 다운로드 됩니다. 이 파일은 또 원격의 서버에서부터 페이로드를 다운로드 받아 실행시킵니다. 그러면 제일 먼저 피해자 시스템의 OS 버전부터 확인하고, 만약 X64 아키텍처가 탐지된다면 페이로드 내부에 임베드 되어 있는 sc_X64 셸코드를 추출해 실행시킵니다.”
그런 후에 문제의 페이로드는 계속해서 작업을 진행하며 두 개의 API를 찾는다. 버추얼프로텍트(VirtualProtect)와 크리에이트쓰레드(CreateThread)라는 것으로, 이 두 가지는 다음과 같은 순서와 방법으로 활용된다.
1) 버추얼프로텍트 API는 메모리 관련 권한을 조작하는 데 활용된다.
2) 공격자는 이를 통해 셸코드를 안전하게 메모리 내에 작성할 수 있게 된다.
3) 크리에이트쓰레드 API를 통해, 2)번에서 작성된 셸코드를 실행시킨다.
4) 그렇게 함으로써 다음 차례 페이로드를 공격자의 서버로부터 다운로드 받을 준비가 완료된다.
위에서 언급된 셸코드는 일종의 다운로더라고 보면 된다고 포티넷은 설명한다. 즉 4)번에 명시된 대로 또 다른 페이로드가 개입된다는 건데, 이 페이로드의 이름은 구글업데이트(GoogleUpdate)다. 이름만 보면 의심될 것이 하나도 없지만 속은 그렇지 않다. 이 구글업데이트가 이번 캠페인의 핵심 페이로드를 내포하고 있기 때문이다. 진짜 나쁜 게 여기에 들어가 있다고 보면 된다. 이 페이로드가 실행되면서 다음 단계의 공격이 시작된다.
다음 단계의 공격이란 먼저 핵심 페이로드를 추출해 숨겨두는 것을 말한다. 공격자들은 이렇게 숨겨진 페이로드를 통해 자신들의 하고자 했던 악성 행위를 안정적으로 실시할 수 있게 된다. 그 페이로드가 바로 머크스파이다.
머크스파이?
머크스파이는 피해자의 컴퓨터 프로세스 중 가장 중요한 것들에 주입되어 실행된다. 이 때 스스로를 구글 업데이트라는 이름으로 등록시키기 때문에(주로 Software\Microsoft\Windows\CurrentVersion\Run에 저장된다) 눈으로 검사해서는 수상한 것을 감지하기가 매우 어렵다. 하지만 한 번 등록되고 나면 머크스파이는 피해자가 시스템을 새로 켤 때마다 자동으로 실행되며, 따라서 사용자 몰래 피해 시스템 내에서 들키지 않은 채 악성 행위를 실시할 수 있게 된다. “민감한 정보의 탈취 및 확보, 사용자 감시 및 추적, 데이터 유출, 원격 서버 제어 등이 전부 가능합니다.”
등록과 실행 준비를 마친 머크스파이는 먼저 스크린샷을 캡처하거나 키스트로그를 기록하여 필요한 정보를 가져간다. 동시에 크롬 브라우저에 저장된 로그인 정보도 훔친다. 모은 정보들은 공격자의 서버로 업로드 하는데, 이 서버의 주소에도 ‘구글’과 ‘업데이트’라는 문자열이 있다. 구글 업데이트라는 표현으로 스스로를 위장하려는 의도가 여기 저기서 보인다.
아직까지 피해 현황이 공개되지는 않고 있다. 다만 캐나다와 인도, 폴란드와 미국에서 주로 피해가 보고되고 있다고 포티넷은 설명한다. “공격자들은 머크스파이를 피해자 시스템에 성공적으로 안착시키기 위해 매우 정교한 공격 사슬을 개발해 실행하고 있습니다. 각 단계를 따로따로 보면 탐지가 어렵거나, 공격자들의 진짜 의도를 파악하기가 어려울 수 있습니다. 최근의 해킹 공격은 대부분이 이렇게 연쇄적인 순서에 의해 실행되므로, 전체를 알아내 이해하는 게 중요합니다.”
또한 오래된 취약점이라고 하더라도 꾸준히 찾아내 패치해나가는 것이 중요하다고 보안 전문가들은 강조한다. “이번 캠페인은 구인, 구직과 관련된 미끼 문서로부터 시작합니다. 피싱 공격에 속는 순간 공격에 걸려든다는 것이죠. 결국 피싱 교육 강화가 이런 식의 공격에 대한 훌륭한 방어법이 된다는 뜻입니다. 아직까지 많은 사이버 공격이 피싱으로부터 시작한다는 것을 기억하고 임직원들을 대상으로 한 교육을 부지런히 반복하는 게 실질적인 도움이 됩니다.”
3줄 요약
1. 3년 전 패치됐던 취약점, 새롭게 악용되고 있음.
2. 현 캠페인에서 퍼지고 있는 건 머크스파이라는 스파이웨어.
3. 눈에 띄지 않으려는 속임수와 정교한 공격 사슬이 특징인 캠페인이지만 문제의 근원은 피싱.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>