북한, VB스크립트 내 제로데이 취약점 공격 중

입력 : 2018-08-21 11:08

VB스크립트 노리는 익스플로잇 두 가지, 다크호텔과 연결돼
VB스크립트 취약점, 꾸준한 공략 가능...앞으로 더 많은 익스플로잇 나올 듯

[보안뉴스 문가용 기자] 북한의 해커들이 최근 패치된 MS VB스크립트 엔진의 취약점을 익스플로잇 해 공격하는 것이 발견됐다. 문제가 되는 취약점은 CVE-2018-8373이다. 메모리 커럽션 취약점의 일종으로, 공격자가 사용자 컨텍스트에서 원격 코드 실행을 할 수 있게 해준다. VB스크립트의 스크립팅 엔진이 인터넷 익스플로러의 메모리 내 객체를 다루는 방식에서 발견된 것이다.


“인터넷 익스플로러를 통해 취약점을 익스플로잇 하도록 설계한 웹사이트를 호스팅 하고, 사용자들을 해당 웹사이트로 유혹하면 공격을 성공시킬 수 있습니다. 또한 이 웹사이트에 액티브X 컨트롤을 엠베드하거나 IE 렌더링 엔진을 호스팅하고 있는 MS 문서를 첨부하는 것도 가능합니다.” MS의 설명이다.

최신 윈도우 버전의 VB스크립트 엔진에서도 발견된 이 취약점이지만 인터넷 익스플로러 11 버전은 영향을 받지 않는다. 윈도우 10 레드스톤 3(RS3)의 VB스크립트가 비활성화 되어 있는 것이 디폴트이기 때문이다. 이 취약점과 인터넷 익스플로러 11의 특성은 지난 달 보안 업체 트렌드 마이크로(Trend Micro)가 발견했다.

트렌드 마이크로는 한 해킹 단체가 사용하는 익스플로잇 샘플을 확보해 분석하기도 했다. 그리고 CVE-2018-8174로 분류된, 또 다른 VB스크립트 엔진 원격 코드 실행 취약점을 공략한 익스플로잇과의 공통점을 발견했다. CVE-2018-8174에서 사용됐던 난독화 기술이 똑같이 CVE-2018-8373 익스플로잇에도 사용된 것이다. CVE-2018-8174의 경우 지난 5월 MS가 패치를 배포하기도 했다.

CVE-2018-8873의 익스플로잇 방법과 셸코드 실행 방법 역시 CVE-2018-8174 익스플로잇의 그것과 유사했다. 이러한 유사성 때문에 트렌드 마이크로는 두 익스플로잇의 개발자가 동일 인물이나 단체인 것으로 보고 있다. “개발자는 vbscript.dll의 UaF 취약점을 사용했습니다. 아직도 패치가 되지 않은 채 남아있는 취약점이죠.”

지난 주, 제로데이 이니셔티브(ZDI)의 소통 책임자인 더스틴 차일즈(Dustin Childs)는 해외 보안 매체인 시큐리티위크(SecurityWeek)를 통해 “이 두 가지 익스플로잇에서 유사성이 발견된 것이 우연이 아닐 가능성이 높다”고 말하며, “앞으로도 같은 개발자가 더 많은 익스플로잇을 만들어 사용할 것 같다”고 경고했다.

트렌드 마이크로는 그 배후 세력에 북한이 있다고 정확히 짚어서 말하지는 않았다. 그러나 중국의 보안 업체 치후360(Qihoo 360)의 보안 전문가들은 이 두 가지 취약점에 대한 익스플로잇을 분석한 후 다크호텔(DarkHotel)이 공격자라고 주장했다. 다크호텔은 북한의 해킹 단체라고 알려져 있다.

치후 360에 따르면 이 두 개의 제로데이 익스플로잇에 사용된 도메인 이름이 같고, 그러므로 두 익스플로잇의 개발자가 같은 인물이나 단체라는 걸 알 수 있는데, 지난 5월에 먼저 발견된 CVE-2018-8174가 다크호텔과 관련이 있는 것으로 분석됐다고 한다. 그러므로 CVE-2018-8873 역시 북한의 소행이라는 것.

치후 360은 다크호텔을 한 동안 추적해온 업체로, 이 두 가지 제로데이 공격 뒤에 북한이 있다는 사실에 크게 자신하고 있다. 다크호텔은 2014년 처음 공개된 APT 단체로 최근 북한의 라자루스 그룹(Lazarus Group)과도 연관성이 있는 것으로 의심 받고 있다. 보안 업체 맥아피는 두 단체가 사용하는 툴이 상당히 겹친다고 발표하기도 했었다.

한편 트렌드 마이크로는 “자체 분석에 따르면 이 취약점은 꾸준히 익스플로잇 될 가능성이 높다”며 “올해 VB 엔진에 대한 익스플로잇이 벌써 두 건이나 발생했다는 건, 앞으로 나타날 각종 VB 엔진 공략의 시작이 될지도 모른다”고 경고했다.

3줄 요약
1. VB스크립트의 제로데이 취약점 두 개, 누군가 이미 공략하고 있음.
2. 두 가지 모두에서 공통점이 여러 개 발견됨. 배후 세력 같다는 의심이 드는 상황.
3. 두 가지 중 5월에 먼저 발견된 것은 북한의 다크호텔 짓으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...