ºÏÇÑ ÇØÅ·±×·ì ¡®APT37¡¯, ¡®ÄÚ´Ï(Konni)¡¯, ¿ìÅ©¶óÀ̳ª Ÿ±ê »ï´Â ¡®GhostWriter¡¯µµ ¾Ç¿ë
[º¸¾È´º½º ÀÌ¼Ò¹Ì ±âÀÚ] Áö³ÇØ 8¿ù¿¡ °ø°³µÈ À©¶ó(WinRAR) Ãë¾àÁ¡ÀÎ ¡®CVE-2023-38831¡¯À» ¾Ç¿ëÇÑ °ø°Ý »ç·Ê°¡ Áõ°¡ÇÏ°í ÀÖ´Ù. ÀÌ Ãë¾àÁ¡Àº ¡®RARLAB¡¯ÀÇ ÆÄÀÏ ¾ÐÃà ¼ÒÇÁÆ®¿þ¾îÀÎ ¡®WinRAR 6.22¡¯ ÀÌÇÏ ¹öÀü¿¡¼ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Â º¸¾È Ãë¾àÁ¡ÀÌ´Ù.
[À̹ÌÁö=gettyimagesbank]
À̽ºÆ®½ÃÅ¥¸®Æ¼ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ESRC)´Â 2023³â ÇϹݱ⿡ ºÏÇÑÀÇ ÇØÅ·±×·ì ¡®APT37¡¯, ¡®ÄÚ´Ï(Konni)¡¯ ±×¸®°í ¿ìÅ©¶óÀ̳ª¸¦ Ç¥ÀûÀ¸·Î »ï´Â ÇØÅ· Á¶Á÷ ¡®GhostWriter¡¯ µîµµ ÇØ´ç Ãë¾àÁ¡À» ¾Ç¿ëÇØ ¡®APT °ø°Ý¡¯À» °¨ÇàÇÑ °ÍÀ¸·Î È®ÀεƴÙ.
CVE-2023-38831 Ãë¾àÁ¡Àº °øÅë Ãë¾àÁ¡ µî±Þ ½Ã½ºÅÛ(CVSS : Common Vulnerability Scoring System) Á¡¼ö 7.8·Î ¡®³ôÀº¡¯ Ãë¾àÁ¡À¸·Î Æò°¡µÆ´Ù. Áö³ÇØ 8¿ù ÆÐÄ¡ ¹öÀüÀÌ °ø°³µÆ´Âµ¥ ±¸ ¹öÀü¿¡¼ Àӽà ¾ÐÃà ÇØÁ¦ ½Ã ½ºÇªÇÎµÈ ÆÄÀϸíÀ¸·Î °ø°ÝÀÚ°¡ Á¦ÀÛÇÑ ¾Ç¼ºÄڵ尡 Æ÷ÇÔµÈ ÆÄÀϱîÁö ¾ÐÃà ÇØÁ¦µÆÁö¸¸, ÆÐÄ¡¸¦ ÅëÇØ Àӽà ¾ÐÃà ÇØÁ¦ °úÁ¤¿¡¼ °ËÁõ ·ÎÁ÷À» °ÈÇØ ÀÌ·¯ÇÑ ¹®Á¦¸¦ ÇØ°áÇß´Ù. ±×·¯³ª PoC ÀͽºÇ÷ÎÀÕ Äڵ尡 ±êÇãºê¿¡ °ø°³µÅ ÀÖ¾î ¶Ç ´Ù½Ã °ø°Ý¿¡ ¾Ç¿ëµÉ °¡´É¼ºÀÌ ÀÖÀ¸¹Ç·Î ÁÖÀÇÇØ¾ß ÇÑ´Ù.
¡ã¾ÐÃà ÆÄÀÏ ¸ñ·Ï°ú È®ÀåÀÚ ½ºÇªÇÎÀÌ Àû¿ëµÈ »ùÇÃ[À̹ÌÁö=ERSC]
ERSC°¡ ºÐ¼®ÇÑ ¡®º¸¾Èµ¿Çâ º¸°í¼¡¯¿¡ µû¸£¸é, ¾ÐÃà ¼ÒÇÁÆ®¿þ¾î WinRARÀ» ÅëÇØ À¯Æ÷µÈ ¡®CONNECTOR_SAMPLES (1).rar¡¯ ¾ÐÃà ÆÄÀÏ ³»ÀÇ PDF ÆÄÀÏÀ» ½ÇÇàÇϸé, µ¿ÀÏÇÑ ¸íÀÇ Æú´õ¿¡ Æ÷ÇÔµÈ ¾Ç¼ºÄڵ尡 ½ÇÇàµÈ´Ù. µû¶ó¼ »ç¿ëÀÚ´Â PDF ÆÄÀÏÀ» ½ÇÇàÇÏ´Â °ÍÀ¸·Î »ý°¢ÇÏÁö¸¸ ½ÇÁ¦·Î´Â °ø°ÝÀÚ°¡ Á¦ÀÛÇÑ µ¿ÀÏÇÑ À̸§ÀÇ Æú´õ¿¡ Æ÷ÇÔµÈ ¾Ç¼ºÄڵ尡 ½ÇÇàµÇ´Â °ÍÀÌ´Ù.
±× µ¿ÀÛ °úÁ¤À» »ìÆ캸¸é, ¡®CVE-2023-38831¡¯À» ¾Ç¿ëÇØ À¯Æ÷µÈ ¾ÐÃà ÆÄÀÏ ¡®CONNECTOR_SAMPLES (1).rar¡¯¿¡´Â Æú´õ¿Í ÆÄÀÏ À̸§ µÚ¿¡ °ø¹éÀÌ Á¸ÀçÇÑ´Ù. ÀÌ´Â ShellExecuteExW ÇÔ¼ö°¡ ÆÄÀÏ À̸§¿¡ Æ÷ÇÔµÈ °ø¹éÀ» À߸ø ó¸®ÇØ, ¾ÇÀÇÀûÀÎ »ç¿ëÀÚ°¡ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù.
¡ãÆú´õ »ý¼º ÄÚµå ÀÏºÎ¿Í ¾ÐÃà ÇØÁ¦µÈ Àӽà Æú´õÀÇ ¸ñ·Ï°ú °ø¹é Á¦¾î ÄÚµå ÀϺΠ[À̹ÌÁö=ERSC]
Ãë¾à ¹öÀüÀÇ WinRARÀ» »ç¿ëÇØ ÆÄÀÏ(CONNECTOR_SAMPLES.pdf)À» ½ÇÇàÇϸé ÇØ´ç ÆÄÀÏÀº Àӽà ¾ÐÃà ÇØÁ¦ÇØ ½ÇÇàµÈ´Ù. Àӽà ¾ÐÃà ÇØÁ¦ °æ·Î´Â ¡®%temp%¡¯ °æ·Î¿¡ ¡®Rar$Dia[PID].[random numbers]¡¯ Æú´õ¸íÀ¸·Î »ý¼ºµÈ´Ù.
ÇÏÁö¸¸ ½ÇÇàÇÑ ÆÄÀÏ°ú µ¿ÀÏÇÑ À̸§ÀÇ Æú´õ°¡ ¹ß°ßµÇ¸é, ÀÏÄ¡ÇÏ´Â Æú´õ ³»ÀÇ ÆÄÀÏ ¸ðµÎ ¾Æ·¡ °æ·Î¿¡ Àӽà ¾ÐÃà ÇØÁ¦µÅ °ø¹é¾øÀÌ ÀúÀåÇÑ´Ù.
Àӽà ¾ÐÃà ÇØÁ¦ ÀÌÈÄ, WinRARÀ» ÅëÇØ ½ÇÇàÇß´ø ÆÄÀÏÀ» ½ÇÇàÇϱâ À§ÇØ ShellExecuteExW ÇÔ¼ö¸¦ È£ÃâÇÑ´Ù. ÇÏÁö¸¸ ½ÇÇà ÆÄÀÏ À̸§¿¡´Â °ø¹éÀÌ Á¸ÀçÇØ ÆÄÀÏ ½ÇÇà¿¡ ½ÇÆÐÇÏ°í ShellExecuteExW ÇÔ¼öÀÇ Æ¯Â¡ÀÌ ¹ß»ýÇÑ´Ù.
¡ãShellExecuteExW ÄÚµå ÀϺΠ¹× ShellAPI Ư¡[À̹ÌÁö=ERSC]
ShellExecute ÇÔ¼ö´Â °ø¹éÀÌ ÀÖ´Â È®ÀåÀÚ¸¦ À߸øµÈ È®ÀåÀÚ·Î ÆÇ´ÜÇϴµ¥ À§ »ùÇðú °°ÀÌ ½ÇÇà ÆÄÀÏ À̸§ÀÇ ¸¶Áö¸· ºÎºÐ¿¡ °ø¹éÀÌ ÀÖÀ¸¹Ç·Î, ShellExecute ÇÔ¼ö´Â °ø¹éÀ» È®ÀåÀÚ·Î °£ÁÖÇØ ¡®CONNECTOR_SAMPLES.pdf¡¯´Â È®ÀåÀÚ°¡ ¾ø´Â ÆÄÀÏ·Î °£ÁֵȴÙ.
¶ÇÇÑ ShellExecute ÇÔ¼ö »ç¿ë ½Ã È®ÀåÀÚ¸¦ ¸í½ÃÇÏÁö ¾Ê¾Æµµ µÇ´Âµ¥, ÀÌó·³ È®ÀåÀÚ°¡ ¾øÀÌ ÆÄÀÏÀ» ½ÇÇàÇÒ ¶§, ·ÎÁ÷¿¡ ÀÇÇØ Æú´õÀÇ ¸ðµç ÆÄÀÏÀ» ¹Ýº¹ È£ÃâÇØ ¡®.PIF, .COM, .EXE, .BAT, .CMD¡¯ È®ÀåÀÚ Áß ÀÏÄ¡ÇÏ´Â È®ÀåÀÚ¸¦ °¡Áø ¡®CONNECTOR_SAMPLES.pdf .cmd¡¯ ÆÄÀÏÀ» ½ÇÇàÇÑ´Ù.
¡®CONNECTOR_SAMPLES.pdf .cmd¡¯´Â ´å³Ý(.NET)À¸·Î ÀÛ¼ºµÅ ÀÖÀ¸¸ç, ÃÖÁ¾ÀûÀ¸·Î ÆûºÏ(Formbook) ÀÎÆ÷½ºÆ¿·¯ ¾Ç¼ºÄڵ带 ½ÇÇàÇÑ´Ù. ÀÌ¿Í °°ÀÌ ¾ÐÃà ¼ÒÇÁÆ®¿þ¾îÀÎ WinRARÀÇ Ãë¾àÁ¡À» ¾Ç¿ëÇϸé ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ´Ù. À̸¦ ÅëÇØ °ø°ÝÀÚ´Â »ç¿ëÀÚ ½Ã½ºÅÛ¿¡ ¾Ç¼ºÄڵ带 ¼³Ä¡Çϰųª »ç¿ëÀÚÀÇ °³ÀÎÁ¤º¸¸¦ Å»ÃëÇÒ ¼ö ÀÖ´Ù.
ERSC´Â ¿©·¯ ÇØÅ· ±×·ìÀÌ ¡®CVE-2023-38831¡¯À» ¾Ç¿ëÇØ ÇØÅ·ÇÏ°í ÀÖ´Â °ÍÀ¸·Î º¸°íµÈ ¸¸Å ´Ù¾çÇÑ °ø°ÝÀÌ ÀÌ·ç¾îÁú ¼ö Àֱ⠶§¹®¿¡ °¢º°ÇÑ ÁÖÀǸ¦ ´çºÎÇß´Ù. ¶ÇÇÑ ¾Ç¼ºÄÚµå °¨¿° ¹æÁö¸¦ À§Çؼ´Â ½Å·ÚÇÒ ¼ö ¾ø´Â ÆäÀÌÁö¿¡¼ ÆÄÀÏÀ» ´Ù¿î·Îµå ÇÏÁö ¸»¾Æ¾ß Çϸç, ¹é½ÅÀÇ ÃֽŹöÀü ¾÷±×·¹ÀÌµå ¹× Á¤±â °Ë»ç¸¦ ½À°üÈÇØ¾ß ÇÔÀ» °Á¶Çß´Ù.
ÇÑÆí ÇØ´ç Ãë¾àÁ¡Àº À̽ºÆ®½ÃÅ¥¸®Æ¼ ¡®¾Ë¾à¡¯¿¡¼ ¡®Exploit.CVE-2023-38831¡¯·Î Áø´ÜÇÏ°í ÀÖ´Ù.
[ÀÌ¼Ò¹Ì ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>