Home > 전체기사
러시아 병원에서 발생한 제로데이 공격, 우크라이나의 보복?
  |  입력 : 2018-12-06 16:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아가 일으킨 케르치 해협 사태 직후, 러시아 병원에 사이버 공격 발생
멀웨어, 이탈리아 해킹팀의 제품과 유사...북한의 공격도 떠올리게 해


[보안뉴스 문가용 기자] 현지 시각으로 수요일, 어도비는 플래시 플레이어에서 발견된 취약점 두 가지에 대한 패치를 발표했다. 그 중 하나는 러시아의 의료 단체를 겨냥한 공격에 이미 활용된 치명적인 오류라고 한다. 이 공격자들은 최근 러시아와 우크라이나 사이에서 발생한 ‘케르치 해협 사태’와 관련이 있을 수도 있어 주목을 받고 있다.

[이미지 = iclickart]


어도비의 권고문에 따르면 이 취약점은 CVE-2018-15982라고 하며, UaF(Use-after-Free) 취약점의 일종이다. 익스플로잇 될 경우 임의의 코드 실행이 가능하지만, 플래시 플레이어 32.0.0.101 버전(윈도우, 맥OS, 리눅스, 크롬OS)을 통해 패치가 완료됐다. 가장 무서운 점은 이 취약점을 겨냥한 공격이 실제로 존재한다는 것이라고 어도비는 강조했다.

이 취약점을 발견하는 데 도움을 준 건 세 기업이라고 어도비는 밝혔다. 클라우드 보안 업체 기가몬(Gigamon)의 한 팀, 중국의 보안 업체 치후360(Qihoo 360)의 두 팀이다. 독립적으로 활동하는 보안 전문가 1인도 이 취약점을 발견해 어도비로 알렸다고 한다.

치후 360은 자사 블로그를 통해 CVE-2018-15982에 대한 상세 내용을 올리기도 했다. 취약점에 대한 기술적 내용은 물론 익스플로잇 방법까지도 공개됐다. 기가몬 역시 블로그 포스트를 통해 비슷한 내용을 알려왔다.

전문가들에 의하면 이 플래시 제로데이 취약점은 러시아 연방 정부의 한 의료 기관을 노린 익스플로잇 공격에 악용됐다고 한다. 치후 360은 공격자가 “APT 그룹일 가능성이 높다”고 보고 있으며, 특수하게 조작된 문서가 담긴 RAR 아카이브 파일을 통해 익스플로잇을 피해 시스템에 전송했다고 설명한다.

이 문서가 피해 시스템에서 열릴 경우, 해당 의료 기관의 직원들을 위해 만들어진 듯한 설문지가 화면에 나타난다. 하지만 배경에서는 악성 명령이 실행되고 있다. CVE-2018-15982를 익스플로잇하는 명령이며, 이 과정에서 멀웨어 하나가 시스템에 심겨진다.

전문가들은 이 멀웨어가 “이탈리아의 스파이웨어 제작사인 해킹팀(Hacking Team)에서 만든 트로이목마와 비슷하다”고 설명한다. 해킹팀은 2015년 데이터 유출 사고를 통해 여러 툴들과 그 툴들을 사간 고객들 명단이 공개되는 바람에 사업적 위기를 맞은 바 있다. “이번 러시아 공격에서 발견된 툴은 해킹팀에서 만든 스카웃(Scout) 툴의 변종으로 보입니다.” 기가몬의 설명이다.

한편 치후 360의 전문가들은 북한 해커들이 올해 초 최초로 익스플로잇 한 CVE-2018-4878 취약점과 이번에 발견된 플래시 제로데이 취약점이 매우 유사하다는 점을 지적했다.

치후 360이 러시아 의료 기관을 공략한 캠페인을 처음 발견한 건 11월 29일의 일로, 바로 다음 날 공격의 정체를 파악해 어도비로 취약점 정보를 전송했다. 기가몬이 어도비에 오류를 보고한 건 11월 29일의 일이었다.

치후 360은 “사이버 공격이 케르치 해협 사태가 발생하고 며칠 지나지 않아 발생했다”며, “러시아가 우크라이나 선박에 발포하고, 선박은 물론 24명의 선원들을 전부 체포한 그 사건에 전 세계가 분노했다”고 공격의 동기를 조심스럽게 예측했다. 또한 체포된 선원들 중 세 명은 병원으로 실려 갔다는 보도가 있었는데, 사이버 공격자들이 그 병원으로 생각되는 곳을 이번에 공격한 것으로 보인다고 설명했다.

기가몬은 이번 공격에서 발견된 악성 문서가 이전에 우크라이나 IP 주소로부터 바이러스토탈(VirusTotal)로 업로드 된 적이 있다고 밝혔다.

3줄 요약
1. 러시아, 우크라이나 선박과 선원 체포해 전 세계 헤드라이 장식함.
2. 그 사건 이후로 러시아 병원 겨냥한 제로데이 공격 발생.
3. 어도비 플레시 플레이어의 제로데이 취약점이 연루되어 있음. 관련 패치 발표됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향