시스코 탈로스, “어도비 공격에 그룹123 연루”

어도비 제로데이 익스플로잇 페이로드, ROKRAT으로 드러나
“그룹123, ROKRAT 활용하는 등 엘리트 범죄조직으로 진화”

[보안뉴스 오다인 기자] 최근 어도비 플래시 플레이어 취약점(CVE-2018-4878) 공격에 해킹 조직 ‘그룹123(Group123)’이 연루됐다고 시스코(Cisco)의 위협 인텔리전스 전담 팀 탈로스(Talos)가 밝혔다.

[이미지=시스코 탈로스]

1일 어도비는 플래시 플레이어 취약점에 대한 권고안을 발표했다. 이 취약점은 원격 코드 실행(RCE)이 가능한 제로데이 취약점으로 밝혀졌는데, 이를 이용한 익스플로잇이 한국의 북한 연구자들을 겨냥하고 있었다는 사실이 드러나면서 이목을 끌었다. 이에 공격의 배후로 북한이 지목되기도 했다.

탈로스의 연구에 따르면, 공격자는 마이크로소프트 엑셀 문서에 포함된 플래시 개체를 조작하는 수법으로 이 취약점을 악용했다. 엑셀 문서를 열면 조작된 코드가 실행되면서 악성 웹사이트로부터 페이로드가 추가로 다운됐다. 이때 페이로드는 원격 관리 도구인 ROKRAT인 것으로 밝혀졌다.

이번 익스플로잇은 클라우드 플랫폼을 동원해 문서를 탈취하고 감염된 시스템을 관리했다는 점이 특이하다고 탈로스는 덧붙였다.

앞서 탈로스는 2017년 한국을 겨냥한 공격 캠페인에 대한 보고서를 발표하면서 그룹123이 △골든타임 △사악한 새해 △프리밀크(FreeMilk) △행복하십니까? △북한 인권 △사악한 새해 2018년 등 6가지 캠페인을 진행했다고 밝혔다. 그룹123은 악성 한글(HWP) 문서를 첨부한 스피어 피싱 이메일을 전파하는 등 한국 이용자를 특정해 공격을 펼쳤다.

[이미지=시스코 탈로스]

탈로스는 “그룹123이 최신 ROKRAT 페이로드를 활용하는 등 엘리트 범죄조직으로 진화하고 있다”고 경고했다. 또한, 탈로스는 “그룹123이 고전적인 악용 수법에서 벗어나 완전히 새로운 악용 기법을 사용하고 있다”고 말했다.
[오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)