세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
시스코 탈로스, “어도비 공격에 그룹123 연루”
  |  입력 : 2018-02-06 18:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
어도비 제로데이 익스플로잇 페이로드, ROKRAT으로 드러나
“그룹123, ROKRAT 활용하는 등 엘리트 범죄조직으로 진화”


[보안뉴스 오다인 기자] 최근 어도비 플래시 플레이어 취약점(CVE-2018-4878) 공격에 해킹 조직 ‘그룹123(Group123)’이 연루됐다고 시스코(Cisco)의 위협 인텔리전스 전담 팀 탈로스(Talos)가 밝혔다.

[이미지=시스코 탈로스]


1일 어도비는 플래시 플레이어 취약점에 대한 권고안을 발표했다. 이 취약점은 원격 코드 실행(RCE)이 가능한 제로데이 취약점으로 밝혀졌는데, 이를 이용한 익스플로잇이 한국의 북한 연구자들을 겨냥하고 있었다는 사실이 드러나면서 이목을 끌었다. 이에 공격의 배후로 북한이 지목되기도 했다.

탈로스의 연구에 따르면, 공격자는 마이크로소프트 엑셀 문서에 포함된 플래시 개체를 조작하는 수법으로 이 취약점을 악용했다. 엑셀 문서를 열면 조작된 코드가 실행되면서 악성 웹사이트로부터 페이로드가 추가로 다운됐다. 이때 페이로드는 원격 관리 도구인 ROKRAT인 것으로 밝혀졌다.

이번 익스플로잇은 클라우드 플랫폼을 동원해 문서를 탈취하고 감염된 시스템을 관리했다는 점이 특이하다고 탈로스는 덧붙였다.

앞서 탈로스는 2017년 한국을 겨냥한 공격 캠페인에 대한 보고서를 발표하면서 그룹123이 △골든타임 △사악한 새해 △프리밀크(FreeMilk) △행복하십니까? △북한 인권 △사악한 새해 2018년 등 6가지 캠페인을 진행했다고 밝혔다. 그룹123은 악성 한글(HWP) 문서를 첨부한 스피어 피싱 이메일을 전파하는 등 한국 이용자를 특정해 공격을 펼쳤다.

[이미지=시스코 탈로스]


탈로스는 “그룹123이 최신 ROKRAT 페이로드를 활용하는 등 엘리트 범죄조직으로 진화하고 있다”고 경고했다. 또한, 탈로스는 “그룹123이 고전적인 악용 수법에서 벗어나 완전히 새로운 악용 기법을 사용하고 있다”고 말했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)