해킹 몰라도 해킹 범죄 일으키게 해주는 새로운 키트 나와

다크웹 포럼에서 작년 여름에 발견...꾸준한 업데이트 이뤄져
여러 취약점 익스플로잇 할 수 있어...해킹 범죄 진입장벽 낮춰

[보안뉴스 문가용 기자] 보안 업체 프루프포인트(Proofpoint)의 전문가들이 지난 주 새로운 익스플로잇 개발 키트를 발견했다. 이미 악명 높은 사이버 범죄 단체인 코발트 갱(Cobalt Gang) 등이 활용해오고 있었다고 하며, 뱅킹 트로이목마 및 원격 접근 공격 등 다양한 멀웨어를 동반하고 있다고 한다.

[이미지 = iclickart]

이 키트의 이름은 쓰레드키트(ThreadKit)로 2017년 6월에 처음 발견됐고, 그 후 여러 차례 업데이트를 거쳤다. 프루프포인트에 의하면 가장 최신 버전은 올해 2~3월 사이에 발견된 것으로 어도비 플래시 플레이어의 버그 중 하나인 CVE-2018-4878과 마이크로소프트 오피스의 원격 실행 오류인 CVE-2018-0802와 CVE-2017-8570을 익스플로잇 하는 기능을 가지고 있다.

프루프포인트의 보고서에 의하면 “최근부터 쓰레드키트가 생성한 오피스 문건이 첨부되어 있는 이메일 양이 급증했다”고 한다. 물론 CVE-2018-0802와 CVE-2017-8570 모두를 익스플로잇하는 것이다. “그 중에는 CVE-2017-11882를 익스플로잇 하는 문건들도 섞여 있습니다. 이는 지난 11월에 발견된 메모리 커럽션 취약점입니다.”

프루프포인트에 의하면 쓰레드키트는 마이크로소프트 워드 인트루더(Microsoft Word Intruder)라는 키트와 유사한 점이 많다. 둘 다 사용자(즉 공격자)가 피해 현황을 추적할 수 있도록 해주며, 뱅킹 멀웨어인 트릭봇(Trickbot) 혹은 Ch토닉(Chthonic)과 관련이 있으며 폼북(FormBook)이나 로키봇(Loki Bot)과 같은 RAT와도 함께 사용된다.

쓰레드키트가 처음 발견된 건 지난 여름으로, 프루프포인트의 전문가들이 여러 해킹 툴셋을 광고하는 포럼을 조사하다가 찾아냈다. 당시는 윈도우에서 발견된 CVE-2017-0199라는 원격 코드 실행 취약점을 익스플로잇 하는 도구로서 홍보되고 있었다. 가짜 DOC 문서와 악성 VB스크립트를 활용한 파일들로 구성되어 있었으며, 기기를 감염시킨 후 스모크 로더(Smoke Loader)라는 다운로더를 엠베드 시키는 것으로 알려졌다.

그러다가 작년 10월 즈음, 그 키트에 새로운 익스플로잇 기능들이 추가됐다. 바로 마이크로소프트의 닷넷(.NET) 프레임워크에서 발견된 원격 코드 실행 취약점인 CVE-2017-8759를 악용하는 도구들이었다. 그리고 11월에는 CVE-2017-11882라는 취약점 익스플로잇 방법이 다시 한 번 추가됐다.

“이런 익스플로잇 키트를 발견해내는 건 대단히 중요한 일입니다. 왜냐하면 키트의 존재가 해킹 범죄의 진입장벽을 크게 낮춰주는 것이기 때문입니다. 이 키트만 구매할 수 있다면, 누구라도 해킹 공격을 할 수 있게 됩니다.” 프루프포인트의 설명이다.

또한 프루프포인트는 “쓰레드키트로부터 시스템들을 보호하려면 가장 먼저는 위에 열거된 취약점들에 대한 패치를 적용해야 한다”고 강조했다. “어도비 플래시와 마이크로소프트의 윈도우 및 오피스 애플리케이션들에 대한 패치 소식은 항상 눈여겨봐야 합니다. 요즘 해커들은 이러한 프로그램들에서 나오는 취약점들을 곧잘 노리니까요.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)