2024-03-29 08:55 (금)
최근 IE 제로데이 취약점, 특정 정부 지원 받는 해킹 그룹들이 적극 활용중
상태바
최근 IE 제로데이 취약점, 특정 정부 지원 받는 해킹 그룹들이 적극 활용중
  • 길민권 기자
  • 승인 2018.06.11 15:59
이 기사를 공유합니다

aaaa-1.jpg
악성코드 제작자들이 사이트의 방문자들을 악성코드에 감염시키기 위해 사용하는 웹 기반 툴킷 RIG 익스플로잇 키트에 지난 달 발견 된 인터넷 익스플로러(IE)의 제로데이 취약점(CVE-2018-8174)이 추가된 것으로 나타났다.

한편 지난 4월 모 보안기업은 이 인터넷 익스플로러 제로데이 취약점을 사용해 북한 정부의 지원을 받는 해킹 그룹이 적극적으로 해킹에 활용하고 있다고 전한 바 있다.

이 취약점은 인터넷 익스플로러와 마이크로소프트 오피스에 포함 된 비쥬얼 베이직 스크립팅 엔진인 VBScript에 영향을 미친다.

이 공격을 발견한 연구원들은 MS에 이를 제보했고 MS는 지난 5월 ‘패치 화요일’ 보안 업데이트를 통해 이를 패치했다.

한편 연구원들은 이 제로데이 취약점의 새로운 악용 체인을 발견해 'double kill'이라 명명했다. 이는 깃허브에 공개 된 PoC 코드를 기반으로 하고 있었고 또 PoC가 공개 되고 얼마 지나지 않아 메타스플로잇 모듈도 공개 되었다.

RIG 익스플로잇 키트는 약 1주일이 넘는 기간 동안 이 취약점을 무기화 한 새로운 익스플로잇을 사용하고 있었다.

공격자들은 정식 사이트의 트래픽을 하이재킹하고 IE 사용자들을 RIG 익스플로잇 키트를 호스팅하는 웹페이지로 이동시켰다. 이후 RIG 익스플로잇 키트는 CVE-2018-8174를 악용해 피해자를 'Smoke Loader' 악성코드에 감염시키려고 시도했다.

Smoke Loader는 악성코드 드롭퍼로 알려져 있으며, 추가 지시에 따라 사용자의 컴퓨터에 은밀히 가상화폐를 채굴하는 또 다른 악성코드를 다운로드 및 설치할 수 있다.

연구원들은 "초기 북한의 해커들이 이 취약점을 악용해 적은 수의 타겟만을 노렸지만, 지금은 다른 모든 제로데이 취약점들과 같이 선택 된 자들만이 아닌 모든 사용자들을 노리고 있는 것으로 조사됐다"며 "RIG 익스플로잇 키트는 CVE-2018-8174가 업데이트 되기 전에는 1년이 넘게 새로운 업데이트가 없었다. 또한 RIG 이외에도 잘 알려진 해킹그룹인 Cobalt도 은행 및 금융 부문을 공격하기 위해 CVE-2018-8174를 악용하고 있는 것으로 추정된다"고 전했다. (정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★