세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
중국의 해킹 그룹 키보이, 오피스 취약점 익스플로잇 시작
  |  입력 : 2018-10-11 11:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CVE-2017-0199라는 유명 취약점 익스플로잇...피싱 메일로 유포
TSSL과 타이탄이라는 멀웨어도 활용 중...아직은 실험 단계로 보임


[보안뉴스 문가용 기자] 중국에서 활동하는 것으로 보이는 해커들이 마이크로소프트의 오피스에서 발견된 취약점에 대한 인기 높은 익스플로잇을 사용해 멀웨어를 배포하고 있는 것이 발견됐다.

[이미지 = iclickart]


이 공격 단체의 이름은 키보이(KeyBoy)로, 2013년 처음으로 적발됐으며, 주로 동남아 국가들의 정부 기관들을 공격해온 것으로 파악됐다. 최근에는 공격 대상을 에너지 분야의 조직들로까지 확장시키기도 했다.

이러한 키보이가 최근 CVE-2017-0199라는 취약점에 대한 익스플로잇의 오픈소스 버전을 사용해 에티오피아 주재 인도 대사관을 공격했다. 이들은 첨부 문서가 포함된 피싱 이메일을 사용하는 방식으로 익스플로잇을 피해 시스템에 심었다고 한다.

보안 업체 에얼리언볼트(AlienVault)에 의하면 “뿐만 아니라 키보이는 또 다른 익스플로잇 생성 툴을 실험 중에 있다”고 한다. “하지만 공격자들이 이 툴의 디폴트 세팅을 바꾸지 않고 있어서 공격이 전체적으로 어설프며, 악성 문서가 고스란히 노출되어 있습니다.” 참고로 이 새로운 툴에서 익스플로잇 하는 취약점은 CVE-2017-8570이다.

에얼리언볼트는 실험 중에 있다는 공격에 대해, “원래는 TSSL이라고 알려진 멀웨어 패밀리를 피해자 시스템에 드롭시키는 것이 최종 목표”라고 설명했다. “TSSL 멀웨어는 원래 키보이가 잘 활용하는 것으로 알려져 있었으며, 최근 공격에서도 모습을 드러내고 있습니다.”

2018년 8월 시티즌랩(Citizen Lab)에서 티베트 활동가, 기자, 망명 상태에 있는 티베트 국회의원들을 겨냥한 사이버 공격 캠페인에 대한 보고서를 발표한 바 있다. 당시에도 TSSL 멀웨어가 활용되었다. 시티즌랩은 이 공격이 2016년부터 시작된 트로픽 트루퍼(Tropic Trooper) 작전의 일부라고 밝혔다.

키보이가 계속 활용하고 있는 멀웨어 중에는 타이탄(Titan)이라는 것도 있다고 에얼리언볼트는 경고한다. 안드로이드용 멀웨어로, 현재도 감염이 계속해서 진행 중인데, “아직까지 오래된 버전들만 발견되고 있다”고 설명한다.

“타이탄 멀웨어를 구성하고 있는 파일들은 최초에 어떤 사람이 대만 웹사이트에 악성 APK 형태로 올린 것에서부터 퍼지기 시작했습니다. 즉 안드로이드 앱인 것처럼 위장해 사람들이 다운로드 받도록 한 것이죠. 하지만 이는 수년 전의 일로, 그 사람은 해당 파일들을 더 올리지 않고 있습니다. 요즘 발견된 타이탄이 어디서부터 퍼지기 시작한 건지는 현재 파악 중에 있습니다.”

3줄 요약
1. 중국의 키보이라는 단체, 다양한 멀웨어와 익스플로잇 활용함.
2. 최근에는 오피스에서 발견된 CVE-2017-0199를 익스플로잇 하고 있음.
3. 이들이 주로 사용하는 멀웨어는 TSSL과 타이탄임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)