한 캠페인에 제로데이, 제로클릭 취약점을 두 개나 익스플로잇 한 러시아의 롬콤

입력 : 2024-11-29 16:18

러시아의 해킹 단체 롬콤이 자신의 실력을 남김 없이 드러냈다. 하나 익스플로잇 하기도 어려운 제로데이, 제로클릭 취약점을 두 개나 익스플로잇 한 것이다. 게다가 자기들이 직접 만든 백도어를 활용하기도 했다. 대량 공격과 표적 공격 모두에 능한 단체라고 한다.

[보안뉴스 문정후 기자] 최근 러시아의 한 공격 단체가 모질라 파이어폭스 브라우저의 제로데이 취약점을 공략하기 시작했다. 뿐만 아니라 MS 윈도에서 발견된 또 다른 제로데이 취약점까지도 익스플로잇 하고 있었다고 한다. 이 심상치 않은 상황을 보안 업체 이셋(ESET)이 추적하여 공개했다. 문제의 해킹 단체는 롬콤(RomCom)이라고 하며, 이들은 두 가지 취약점을 통해 백도어를 퍼트렸다고 한다.


먼저 파이어폭스에서 발견된 취약점은 CVE-2024-9680이다. 파이어폭스만이 아니라 선더버드(Thunderbird), 토르(Tor)와 같은 브라우저 등에서도 발견되고 있다. 일종의 UaF 취약점으로, 취약한 브라우저로 악성 웹 페이지를 열 경우, 사용자 상호작용 없이 악성 코드를 실행할 수 있게 해 준다. 모질라는 10월 9일에 이 취약점을 패치했다. 윈도에서 발견된 또 다른 취약점은 CVE-2024-49039이며, 일종의 권한 상승 취약점으로 분석됐다. 임의 코드 실행으로 이어질 수 있다. MS는 11월 12일에 패치했다.

이셋이 조사했을 때 롬콤의 전형적인 공격 루틴은 다음과 같았다고 한다.
1) 악성 코드가 호스팅 되어 있는 서버로 피해자를 우회 접속시킨다.
2) 그러면 취약한 브라우저가 자동으로 서버의 악성 코드(쉘코드)를 실행한다.
3) 악성 코드는 1단계로 메모리에 침투한 후 다음 단계의 코드를 가져온다.
4) 2단계의 코드는 PE 로더를 실행하여 파이어폭스의 샌드박스를 탈출한다.
5) 롬콤의 커스텀 백도어를 설치한다.

이번 캠페인에서 롬콤은 쉘코드도 활용했는데 다음 두 가지가 특히 많이 사용됐다고 이셋은 밝혔다.
1) 에그헌팅(Egghunting) : 메모리 보호 속성을 읽기, 쓰기, 실행으로 변경한다. 그 후 지정된 코드를 실행한다.
2) 리플렉티브로더(Reflective Loader) : 파이어폭스의 샌드박스 콘텐츠 프로세스 제한을 우회하는 데 사용되는 라이브러리를 로딩한다.

롬콤은 누구이며 어떤 피해가 있었는가?
롬콤은 스톰0978(Storm-0978), 트로피칼스코피우스(Tropical Scorpius), UNC2596이라는 이름으로도 알려져 있다. “롬콤은 주로 기업들을 겨냥해 대량 공격을 실시하는 조직입니다. 그런데 소수의 표적을 대상으로 정교한 스파이 활동도 할 줄 압니다. 돈을 벌기 위해 사이버 공격을 하기도 하지만 정보 수집을 위한 활동을 하기도 합니다. 또한 자기들만의 백도어를 만들고 업그레이드 시키는 경우가 많습니다.”

“이번 공격은 10월 10일부터 11월 4일 사이에 집중적으로 일어났습니다. 주로 유럽과 북미에 피해자들이 분포되어 있었고, 한 국가당 피해자의 수는 최소 1명에서 최대 250명까지인 것으로 조사됐습니다. 공격의 목적은 정보 탈취와 사이버 범죄가 융합된 것이었습니다.” 이셋의 설명이다. “현재는 파이어폭스 131.0.2, 파이어폭스 ESR 115.16.1, 128.3.1, 토르 브라우저 13.5.7, 테일즈 6.8.1, 선더버드 115.16, 128.3.1, 131.0.1 버전이 안전합니다.”

이번 캠페인은 다음과 같은 면에서 특별히 위협적이라고 이셋은 강조한다.
1) 한 캠페인에 두 개의 제로데이 취약점이 조합됐다.
2) 그 두 개의 제로데이 취약점을 익스플로잇 하는 데 있어 사용자의 상호작용이 전혀 필요 없다.
3) 이 캠페인의 배후에 있는 롬콤은 대량 공격과 소규모 표적 공격 모두에 능하다.
4) 롬콤은 자신들의 공격 목적에 맞는 백도어를 스스로 개발하고 개량시킬 수 있다. 게다가 공격의 의지도 충분히 가지고 있다.

이셋은 이러한 내용을 종합해 모질라에 은밀히 제보했고, 모질라는 25시간 만에 패치를 개발해 배포하기 시작했다고 한다. “공격자들이 이미 익스플로잇 하고 있던 제로데이 취약점을 25시간 내에 패치했다는 것은 꽤나 이례적인 일입니다. 업계 전반을 봐도 평균을 훨씬 웃도는 속도죠. 앞으로 중요해지는 건 취약점의 수를 줄이는 것이기도 하지만, 취약점 제보가 들어왔을 때 빠르게 대응하는 것이기도 합니다.”

3줄 요약
1. 러시아의 해킹 단체 롬콤, 북미와 유럽을 대상으로 사이버 공격을 실시.
2. 이 과정에서 제로데이 취약점 두 개가 같이 활용됨. 피해자의 상호작용 필요 없었음.
3. 익스플로잇 후 롬콤은 자신들이 직접 개발한 백도어를 심었음.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  ‘수신 메일을 보류 중입니다’ 업무 시스템 ...

• 2

  [기획특집] 영상보안 기업, 공공조달 시장에...

• 3

  2024년 빛낸 K-보안 기업과 전문가는? ...

• 4

  연말연시, 콘서트 티켓 양도한다며 입금 요구...

• 5

  [인터뷰] 핀텔 김동기 대표 “AI 영상분석...

• 1

  정부, 불법 스팸 근절 위한 ‘스팸 방지 종...

• 2

  국민 2명 중 1명이 사용하는 토스, “보안...

• 3

  [한국정보공학기술사 보안을 論하다-9] 기술...

• 4

  국제적인 도박 및 복권 기업 IGT, 사이버...

• 5

  가장 위험한 소프트웨어 보안 문제는 무엇일까...

• 1

  업무 파일인 줄 알았더니... ‘SVG 포맷...

• 2

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 3

  ‘수신 메일을 보류 중입니다’ 업무 시스템 ...

• 4

  현대오토에버, 생성형 AI로 업무 효율성 높...

• 5

  방화벽 취약점 악용 공격 비상! 해킹포럼에 ...