셰어포인트에서 발견된 취약점, 사이버전 부대들이 좋아한다

입력 : 2020-02-05 16:34

작년 2월에 이미 패치된 CVE-2019-0604...익스플로잇 하면 임의 코드 실행 가능
작년 9월부터 이 취약점 통한 중동 정부 표적 공격 발견돼...패치 서둘러야

[보안뉴스 문가용 기자] 셰어포인트(SharePoint)에서 발견된 취약점인 CVE-2019-0604가 국가 지원을 받는 전문 해킹 부대의 사랑을 받고 있다는 소식이다. 특히 중동의 정부 기관을 노리는 공격에 이 취약점이 널리 활용되고 있다고 한다. 최근 UN 기구를 겨냥한 침투 공격에도 CVE-2019-0604가 활용되었다.


CVE-2019-0604는 셰어포인트가 애플리케이션 패키지의 소스 마크업을 확인하는 데 실패할 때 발동된다. 공격자들은 특수하게 조작된 셰어포인트 애플리케이션 패키지를 업로드 함으로써 취약점을 발동시키고 익스플로잇 할 수 있다. 성공한다면 임의의 코드를 실행할 수 있게 된다.

이 문제에 대한 패치는 이미 2019년 2월에 배포됐다. 그 해 4월에도 MS는 픽스를 추가로 발표하기도 했다. 하지만 얼마 지나지 않아 해당 취약점에 대한 실제 익스플로잇 행위가 증가하고 있다는 소식이 나오기 시작했다. 표적에 대한 최초 침투 및 접근에 성공하기 위해서 차이나 초퍼(China Chopper)라는 웹셸이 사용되는 것이 눈에 띄었다.

최근 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발견한 바에 의하면 이 취약점은 아직까지도 공격자들 사이에서 인기가 높다고 한다. 2019년 9월, 정체를 알 수 없는 공격자들이 CVE-2019-0604를 통해 중동 정부 기관이 운영하는 웹사이트에 웹셸을 심기 시작했는데, 그 중 하나가 깃허브에서 무료로 취득할 수 있는 앤트소드(AntSword)였다. 차이나 초퍼와 유사한 웹셸로 알려져 있다.

공격자들은 앤트소드 웹셸을 사용해 네트워크 내에서 횡적으로 움직여 가며 여러 시스템에 접근했다. 팔로알토의 첩보 분석가인 로버트 팔콘(Robert Falcone)에 의하면 “공격자들은 미미캐츠(Mimikatz)의 변종을 사용해 메모리로부터 크리덴셜을 추출했고, 임패킷(Impacket)의 atexec라는 툴을 사용해 여러 시스템 상에서 명령을 실행했다”고 한다.

같은 9월, 동일한 미미캐츠 변종이 중동 지역의 또 다른 정부 기관에서 활동하는 것을 다시 한 번 발견됐다. 이 때도 웹셸이 업로드 되고 있었다. 팔콘에 의하면 “9월에 팔로알토가 발견한 두 사건 모두 동일한 배후 세력을 가지고 있는 것으로 보인다”고 한다.

중동의 정부 기관을 겨냥해 CVE-2019-0604를 익스플로잇 하는 건 그 동안 자주 발견되어 온 바다. 팔로알토는 작년 4월에도 에미사리 판다(Emissary Panda)라는 해킹 그룹이 이 취약점을 익스플로잇 해 웹셸을 심는 것을 발견했었다고 한다. 표적은 중동의 국가 기관이었다. 팔콘은 “너무나 많은 공격 단체들이 CVE-2019-0604를 익스플로잇 하기 때문에 구분하면서 추적하기가 힘들 정도”라고 말한다.

게다가 CVE-2019-0604는 최근 UN을 겨냥한 사이버 공격에서도 익스플로잇 됐다. 공격자들은 제네바와 비엔나에 있는 UN 사무실의 시스템들에 무단으로 침투했으며, 이를 통해 여러 사람들의 개인정보와 기밀, 네트워크 데이터를 빼간 것으로 보인다. 하지만 정확히 어떤 파일들이 유출됐는지는 조사 중에 있다. 한 UN IT 부문 관계자는 공격자들이 400GB의 데이터를 가져갔다고 언론에 말했지만, 이는 개인의 견해인 것으로 나타났다.

2020년 1월초, 팔로알토의 연구원들은 쇼단 검색엔진을 사용해 취약한 셰어포인트 버전을 검색해 보았다. 그 결과 28881개의 서버들에 아직 취약한 셰어포인트 버전이 설치되어 있음을 발견할 수 있었다. “셰어포인트를 사용하고 있는 조직들은 서둘러 패치를 진행해야 할 것입니다. 이제는 공격자들 사이에서 공격 공식 같은 게 성립되어 있는 상태라는 것도 잊지 말아야 합니다. CVE-2019-0604는 패치가 나왔음에도 여전히 현대 인프라를 위협하는 주요 요소입니다.”

3줄 요약
1. 셰어포인트에서 발견되고 작년 초에 패치된 취약점, 여전히 인기 높음.
2. 특히 중동 정부 기관을 노린 사이버 공격에 자주 활용됨.
3. 국가 지원 해킹 부대가 셰어포인트 취약점 적극 노리는 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 2

  MS의 로우코드 플랫폼 파워페이지스, 사용자...

• 3

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 4

  최고의 ‘보안 강연자’를 선발하다... IS...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...