한국 및 일본에서 발생된 여러 공격에 연루된 Hacking Team 플래시 제로데이

게시일: 2015-07-08 l 작성자: Weimin Wu (Threat Analyst)

지난 주 이탈리아 보안업체인 Hacking Team의 정보 유출 사건과 관련하여 여러 가지 취약점이 발견되었으며 우리는 이 익스플로잇이 현재 다양한 익스플로잇 킷에서 악용되고 있음을 확인하였습니다. 스마트 프로텍션 네트워크(Smart Protection Network)가 제공한 피드백을 통해 이 익스플로잇이 한국과 일본에서 발생되는 제한적 공격에 사용되고 있다는 사실도 알게 되었습니다. 주목할만한 점은 Hacking Team의 정보 유출 사고가 발생하기 전에도 이 익스플로잇은 이미 공격에 사용되고 있었으며 우리가 이 익스플로잇의 활동을 처음 발견한 것은 7월 1일이었습니다.

우리가 발견한 익스플로잇 코드는 Hacking Team 정보 유출 때 공개된 코드와 매우 유사합니다. 따라서 우리는 Hacking Team의 도구와 코드를 액세스한 누군가가 이 공격을 개시한 것으로 추정하고 있습니다.

어도비 보안 공지에 의하면 취약점 CVE-2015-5119는 Windows, Mac 및 Linux의 모든 최신 버전의 플래시에 영향을 미치는 것으로 밝혀졌으며 어도비는 이 취약점에 대한 보안 업데이트를 제공하고 있습니다.

공격 활동

6월 말, 우리는 한국의 한 사용자가 지난 해 발견된 플래시 취약점인 CVE-2014-0497를 비롯한 다양한 익스플로잇의 표적이 되었음을 확인하였습니다. 트래픽 로그를 통해 이 사용자가 첨부 파일이 있는 스피어피싱 이메일을 수신했을 수도 있음을 파악하였습니다. 이 문서에는 사용자가 방문할 수 있는 URL이 들어있었는데 이 URL은 미국에서 호스팅되고 있으며 SWF_EXPLOYT.YYKI라는 플래시 익스플로잇이 포함되어 있는 사이트로 이동되었습니다. 이 익스플로잇은 Hacking Team 정보 유출 사고 시 확인된 제로데이 어도비 취약점을 공략하였습니다. 우리는 사용자의 기기에서 한 주 동안 여러 차례 이 익스플로잇이 다운로드 된 사실도 확인하였습니다.

감염 사슬은 아래 그림과 같습니다:

그림1. 액세스한 URLs

그림 2. 생성된 프로세스 (빨간색 부분)

첫 번째 그림은 공격이 진행되는 동안 액세스한 URL들입니다. 두 번째 그림은 이 멀웨어가 생성한 프로세스입니다.

제로데이 익스플로잇은 hxxp://{malicious domain}/img_h/ims2/icon.swf에서 호스팅되고 있었습니다. 이 익스플로잇이 성공적으로 악용되면 hxxp://{malicious domain}/img_h/ims2/icon.jpg에서 바이너리 파일이 다운로드됩니다. 탐지명 TROJ_NETISON.AB의 이 파일은 사실 XOR 암호화된 PE 파일입니다. 익스플로잇의 셸코드가 이를 암호 해독하고 이를 C:\Users\{user name}\AppData\Local\Temp\RealTemp.exe로 저장한 다음 실행합니다. (시스템 온도를 감시하도록 설계된 정식 Real Temp 애플리케이션이 이와 동일한 파일 이름을 사용하고 있지만 이 공격과는 관련이 없습니다.)

이 파일은 다운로더 역할을 하며 악성 페이로드를 다운로드하고 mshta.exe라는 프로세스를 생성하는데 이는 정상적인 시스템 파일이지만 이 코드는 메모리에 악성 루틴을 심어놓습니다. 두 번째 페이로드는 아래의 그림과 같습니다.

그림3과 4. 다운로드된 이미지

우리는 다른 사용자들도 악성 코드가 호스팅되고 있는 도메인에 방문한 것을 확인하였습니다. 이 도메인을 방문한 많은 이들이 한국에 거주하고 있었으며 이들 중 한 명은 일본에 거주하고 있었습니다. 이 활동은 6월 22일에 시작되었으며 이 역시 익스플로잇 공격 시도였다고 확정할 순 없지만 그럴 가능성이 높습니다.

이 공격에는 여러 가지 흥미로운 점이 있습니다. 우리가 발견한 익스플로잇은 Hacking Team 정보 유출 사건 시 분석한 것과 동일한 구조를 가지고 있었습니다. 차이점은 이 공격의 샘플은 악성 페이로드를 가지고 있었던 반면 정보 유출 때 사용된 코드는 그렇지 않다는 점입니다.

우리는 이 공격이 Hacking Team의 공격 패키지와 코드를 이용해 생성된 것으로 추정하고 있습니다. 공학적 관점에서 볼 때 이 코드는 매우 잘 만들어졌습니다. 일부 공격자들은 유출된 코드를 통해 다양한 대상들을 대상으로 한 표적 공격을 개시하고 관리하는 방법을 배울 수 있을 것입니다.

우리는 Hacking Team 정보 유출로 인해 확인된 취약점과 관련 있는 다양한 위협들에 대한 감시를 지속할 것입니다.

[업데이트] 2015년 7월 8일 오후 2:48분 PST

어도비는 플래시 제로데이 취약점에 대한 픽스를 발표하였습니다. 이 업데이트에 대한 정보는 APSB15-16를 통해 발표되었으며 우리는 사용자들이 최대한 빨리 이 업데이트를 적용할 것을 권장하고 있습니다.

[업데이트] 2015년 7월 9일 오후 8:53 PST

트렌드마이크로는 별도의 업데이트 없이도 이미 이 위협으로부터 사용자들을 보호하고 있습니다. Trend Micro™ Deep Discovery에 포함되어 있으며 Script Analyzer 엔진이 탑재된 샌드박스는 이번 위협의 활동에 근거하여 이를 탐지할 수 있습니다. Trend Micro™ Smart Protection Suite의 엔드포인트 보안(Endpoint Security)에 포함된 브라우저 익스플로잇 방지(Browser Exploit Prevention) 기능은 익스플로잇을 호스팅하는 URL을 사용자가 액세스하는 순간 이를 탐지합니다. 브라우저 익스플로잇 방지(Browser Exploit Prevention)는 브라우저나 관련 플러그 인을 표적으로 하는 익스플로잇을 탐지합니다.

Trend Micro Deep Security의 취약점 방지 기능은 다음의 DPI 규칙에 따라 이 취약점을 악용할 수도 있는 각종 위협으로부터 사용자 시스템을 보호합니다.

  • 1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability

관련 게시물

원문: Hacking Team Flash Zero-Day Tied To Attacks In Korea and Japan… on July 1