최근 패치된 어도비 취약점을 이용하는 매그니튜드 익스플로잇 킷; 미국, 캐나다 및 영국이 가장 취약

게시일: 2015-06-17 l 작성자: Peter Pi (Threats Analyst)

지난 주 어도비는 플래시 플레이어 취약점을 패치하였지만 미국, 캐나다, 영국의 일부 사용자들은 여전히 위험에 노출되어 있으며 CryptoWall 3.0에 감염될 위험이 높은 상황입니다. 매그니튜드 익스플로잇 킷에는 SWF_EXPLOIT.MJTE로 명명된 익스플로잇이 포함되어 있으며 이를 통해 공격자는 표적 시스템에 크립토 랜섬웨어를 유포할 수 있습니다. 우리는 트렌드마이크로 스마트 프로텍션 네트워크(Trend Micro™ Smart Protection Network)를 통해 위협 인텔리전스를 모니터링하는 과정에서 지난 6월 15일 이 활동의 징후를 처음 발견하였습니다.

CVE-2015-3105로 지정된 이 취약점은 소프트웨어를 버전 18.0.0.160으로 업그레이드한 어도비 플래시의 6월 정기 업데이트를 통해 수정되었습니다. 하지만 많은 사용자들이 여전히 이전 버전(17.0.0.188)을 사용하고 있으며 따라서 이들은 위험에 노출되어 있는 상태입니다.

다음은 이번 주를 기준으로 이 위협에 가장 많이 감염된 10개 국가입니다:

  1. 미국
  2. 캐나다
  3. 영국
  4. 독일
  5. 프랑스
  6. 호주
  7. 이탈리아
  8. 터키
  9. 인도
  10. 벨기에

지속되는 익스플로잇 문제

이번 사례는 사이버범죄자들이 익스플로잇 킷을 통해 최근 패치된 취약점을 재빠르게 악용하고 있다는 것을 보여주고 있습니다. 우리는 3월에도 이와 유사한 사례를 확인하였는데 당시 패치가 발표된 지 일주일 만에 뉴클리어 익스플로잇 킷에 어도비 플래시 플레이어 취약점에 대한 익스플로잇이 추가되었습니다. 이달 초에도 플래시 플레이어는 익스플로잇 킷의 공격을 가장 많이 받는 표적으로 확인되었으며 이러한 추세는 당분간 지속될 것으로 보입니다.

그림1. 테스트에 사용된 플래시 버전

우리가 확보한 SWF 샘플은 보안SWF를 이용하여 매우 심하게 난독화되어 있었으며 실제 익스플로잇 코드에 대해 두 개의 셰이더를 사용하고 있습니다.

그림 2. 익스플로잇 코드에 사용된 셰이더

매그니튜드와 같이 널리 사용되는 익스플로잇 킷은 종종 새로운 취약점들을 정교하게 활용합니다. 이러한 도구들을 조사해본 결과 매그니튜드는 SweetOrange나 Angler와 함께 사이버범죄자들이 가장 많이 이용하는 익스플로잇 킷 중 하나였습니다.

CryptoWall 역시 널리 알려진 또 다른 위협입니다. 우리는 스팸을 통해 유포되고 있던 CryptoWall을 지난 해 처음 발견하였으며 올해에는 정보 도용 멀웨어인 FAREIT와 결합된 것을 확인하였습니다.

그림3. 랜섬웨어 요구사항 페이지

트렌드마이크로는 이러한 위협으로부터 사용자를 이미 보호하고 있습니다. 트렌드마이크로 Deep Discovery에 포함되어 있는 Script Analyzer 엔진이 탑재된 샌드박스는 엔진이나 패턴 업데이트 없이도 활동을 기준으로 이러한 위협들을 탐지할 수 있습니다. 그리고 트렌드마이크로 Security, 오피스스캔Worry-Free 비즈니스 시큐리티 서비스와 같은 엔드포인트 제품에 포함된 브라우저 익스플로잇 방지(Browser Exploit Prevention) 기능은 사용자가 익스플로잇을 호스팅하는 URL을 방문하게 될 경우 익스플로잇을 차단합니다. 브라우저 익스플로잇 방지 기능은 브라우저나 관련 플러그 인을 표적으로 하는 익스플로잇으로부터 사용자를 보호합니다.

우리는 사용자들이 최신 플래시 플레이어 버전으로 업데이트할 것을 권장하고 있으며 이번 사례는 업데이트가 얼마나 중요한 지를 보여주고 있습니다. 이 외에도 구글 크롬은 내장된 플래시 플레이어의 버전을 자동으로 업데이트하고 있다는 것을 확인하였습니다.

악성 어도비 플래시 익스플로잇은 SWF_EXPLOIT.MJTE로 명명되었습니다. 다음은 이 익스플로잇의 SHA1입니다.

  • 16ad317b7950c63720f9c7937a60ee3ea78cc940

Brooks Li와 Joseph C Chen의 추가 분석 자료

태평양 표준시 기준 2015년 6월 16일 오전 8시 30분 업데이트: 익스플로잇에 대한 탐지명을 추가하는 내용으로 엔트리를 업데이트하였습니다.

원문: Magnitude Exploit Kit Uses Newly Patched Adobe Vulnerability; US, Canada, and UK are Most At Risk