러시아의 APT28도 폴리나 취약점 익스플로잇 하기 시작

2022-06-23 14:08
  • 카카오톡
  • url
5월이 끝나갈 무렵 발견된 윈도 제로데이 취약점인 폴리나의 인기가 점점 높아지고 있다. 러시아의 APT28도 우크라이나의 조직을 공격하기 위해 폴리나를 익스플로잇 하기 시작했다. 이번 달 MS가 문제를 패치했으니 빠르게 적용하는 것이 필요해 보인다.

[보안뉴스 문가용 기자] 악명이 자자한 러시아의 APT 단체인 APT28이 MS 윈도에서 최근 발견됐다가 패치된 폴리나(Follina) 취약점을 익스플로잇 하기 시작했다. 보안 업체 멀웨어바이츠(Malwarebytes)에 의하면 APT28이 최근 우크라이나의 사용자들에게 악성 피싱 문서를 내보내기 시작했는데, 이 악성 문건에 폴리나 익스플로잇이 포함되어 있다고 한다. 문서에는 러시아 핵 공격과 관련된 제목이 붙어 있었다.


[이미지 = utoimage]

폴리나는 CVE-2022-30190이라는 관리 번호가 붙은 취약점이며(공개 당시에는 제로데이 상태였다), APT28은 팬시베어(Fancy Bear) 혹은 소파시(Sofacy)라는 이름으로도 불리는 공격 단체다. 멀웨어바이츠가 이들이 내보내는 악성 문건을 처음 발견한 건 5월 10일의 일이다. “러시아의 핵 공격 가능성을 실질적으로 염려하고 있는 이들이라면 이 문서의 내용이 궁금할 수밖에 없습니다.”

궁금증을 못 이긴 사용자가 문건을 열 경우, 닷넷(.NET) 기반의 크리덴셜 탈취 멀웨어가 폴리나 취약점을 통해 설치된다. 이 멀웨어는 이전까지 한 번도 발견되거나 분석된 적이 없는 새로운 멀웨어라고 한다. 이 멀웨어는 크롬, 마이크로소프트 에지 브라우저 등으로부터 사용자 이름, 비밀번호, URL 정보를 훔쳐낸다. 그 외에 크롬 브라우저에 저장된 모든 쿠키들도 가져갈 수 있다고 한다.

우크라이나의 침해 대응 센터도 멀웨어바이츠의 경고와 비슷한 내용의 경고문을 별도로 발표했다. 거의 모든 내용이 동일한데, 크리덴셜 탈취형 멀웨어에 크레도맵(CredoMap)이라는 이름을 붙였다는 것만 다르다. 우크라이나 침해 대응 센터에 따르면 APT28이 악성 문건을 사용해 크리덴셜을 탈취한 것이 최소 6월 10일부터였다고 한다.

점점 더 악화되어 가는 폴리나 사태
폴리나 취약점은 현존하는 모든 윈도 버전에 존재하며, 악성 오피스 문서를 열어보게 함으로써 익스플로잇 할 수 있다. 익스플로잇에 성공한 공격자는 피해자의 시스템을 원격에서 조정할 수 있게 된다. 그런 후 여러 가지 악성 행위를 실시할 수 있는데, 여기에는 원격 코드 실행, 프로그램 설치, 데이터 조작, 새 계정 생성 등이 포함된다. 마이크로소프트는 이 취약점을 5월 말 즈음에 공개했으나 이미 제로데이 익스플로잇 활동이 벌어지고 있던 시기였다. 패치는 이번 달에 진행됐다.

멀웨어바이츠는 “APT28이 폴리나 취약점을 익스플로잇 하는 것은 이번이 처음”이라고 주장한다. “하지만 다른 APT 단체들은 이미 폴리나를 활발히 익스플로잇 하고 있었죠. 러시아의 또 다른 APT인 샌드웜(Sandworm)의 경우 폴리나를 사용해 우크라이나 조직들을 대량 공격하기도 했었고요. 그렇기에 APT28이 처음 시도한 일이긴 해도 놀라울 것은 없습니다.” 그 외에도 폴리나를 통해 코발트 스트라이크 비컨(Cobalt Strike Beacon)을 주로 사용하는 공격 캠페인이 발견되기도 했었다.

폴리나와 관련된 공격 행위는 지난 수주 동안 꾸준하게 발견되어 왔다. 우크라이나의 조직 외에도 여러 곳에서 피해가 발생했다. 보안 업체 프루프포인트(Proofpoint)의 경우 폴리나 익스플로잇을 활용한 APT 단체의 공격 시도를 차단하는 데 성공했다고 발표하기도 했다. 프루프포인트가 막아낸 공격 캠페인은 프루프포인트의 고객사들을 노리고 있었고, 연봉 인상과 관련된 문건으로 피해자들을 속였다고 한다. 속은 피해자들의 시스템에는 파워셸 스크립트가 다운로드 됐다.

또 다른 보안 업체 시만텍(Symantec) 역시 폴리나를 익스플로잇 하는 다양한 위협 행위자들이 발견되고 있다는 경고를 내보낸 적이 있다. 공격자가 여럿이며, 따라서 여러 종류의 멀웨어가 폴리나를 통해 유포되는 중이라고 당시 시만텍은 경고했었다. 시만텍이 발견한 멀웨어 중 하나는 에이싱크랫(AsyncRAT)이었다.

3줄 요약
1. 러시아의 유명 APT 단체인 APT28도 폴리나 익스플로잇 하기 시작.
2. 익스플로잇에 활용되는 건 러시아 핵 공격을 테마로 한 악성 문서.
3. 여러 악성 행위를 실시하고 있는데, 추가 멀웨어 설치되는 것이 눈에 띔.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 디알에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 현대틸스
      팬틸트 / 카메라

    • 웹게이트

    • 준영테크

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 엘텍코리아

    • 동양유니텍

    • 지오멕스소프트

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 아이쓰리시스템(주)

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 성현시스템

    • 트루엔

    • 프로브디지털

    • (주)씨유박스

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • 디비시스

    • (주)투윈스컴

    • 주식회사 비앤에스

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • EOC

    • 윈스

    • 지란지교에스앤씨

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 탄탄코어

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 엔시드

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 코스템

    • 다원테크

    • 지엘에스이

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)글로벌티에쓰시엠그룹

    • 이스트컨트롤

    • (주)넥스트림

    • 티에스아이솔루션
      출입 통제 솔루션

    • 네이즈

    • 화이트박스로보틱스

    • 대산시큐리티

    • 완텍

    • 모스타

    • 포커스에이치앤에스
      지능형 / 카메라

    • (주)일산정밀

    • 메트로게이트
      시큐리티 게이트

    • 구네보코리아주식회사

    • 케이컨트롤

    • 주식회사 에스카

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기