check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

최근 IE 제로데이 취약점, 특정 정부 지원 받는 해킹 그룹들이 적극 활용중

2018년 06월 11일(월)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

aaaa-1.jpg
악성코드 제작자들이 사이트의 방문자들을 악성코드에 감염시키기 위해 사용하는 웹 기반 툴킷 RIG 익스플로잇 키트에 지난 달 발견 된 인터넷 익스플로러(IE)의 제로데이 취약점(CVE-2018-8174)이 추가된 것으로 나타났다.

한편 지난 4월 모 보안기업은 이 인터넷 익스플로러 제로데이 취약점을 사용해 북한 정부의 지원을 받는 해킹 그룹이 적극적으로 해킹에 활용하고 있다고 전한 바 있다.

이 취약점은 인터넷 익스플로러와 마이크로소프트 오피스에 포함 된 비쥬얼 베이직 스크립팅 엔진인 VBScript에 영향을 미친다.

이 공격을 발견한 연구원들은 MS에 이를 제보했고 MS는 지난 5월 ‘패치 화요일’ 보안 업데이트를 통해 이를 패치했다.

한편 연구원들은 이 제로데이 취약점의 새로운 악용 체인을 발견해 'double kill'이라 명명했다. 이는 깃허브에 공개 된 PoC 코드를 기반으로 하고 있었고 또 PoC가 공개 되고 얼마 지나지 않아 메타스플로잇 모듈도 공개 되었다.

RIG 익스플로잇 키트는 약 1주일이 넘는 기간 동안 이 취약점을 무기화 한 새로운 익스플로잇을 사용하고 있었다.

공격자들은 정식 사이트의 트래픽을 하이재킹하고 IE 사용자들을 RIG 익스플로잇 키트를 호스팅하는 웹페이지로 이동시켰다. 이후 RIG 익스플로잇 키트는 CVE-2018-8174를 악용해 피해자를 'Smoke Loader' 악성코드에 감염시키려고 시도했다.

Smoke Loader는 악성코드 드롭퍼로 알려져 있으며, 추가 지시에 따라 사용자의 컴퓨터에 은밀히 가상화폐를 채굴하는 또 다른 악성코드를 다운로드 및 설치할 수 있다.

연구원들은 "초기 북한의 해커들이 이 취약점을 악용해 적은 수의 타겟만을 노렸지만, 지금은 다른 모든 제로데이 취약점들과 같이 선택 된 자들만이 아닌 모든 사용자들을 노리고 있는 것으로 조사됐다"며 "RIG 익스플로잇 키트는 CVE-2018-8174가 업데이트 되기 전에는 1년이 넘게 새로운 업데이트가 없었다. 또한 RIG 이외에도 잘 알려진 해킹그룹인 Cobalt도 은행 및 금융 부문을 공격하기 위해 CVE-2018-8174를 악용하고 있는 것으로 추정된다"고 전했다. (정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★


길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기