Home > 전체기사
파이어폭스와 IE 취약점 통해 중국과 일본 공격! 용의국은 한국?
  |  입력 : 2020-04-03 13:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1월과 2월, 모질라와 마이크로소프트가 각각 패치했던 브라우저 내 취약점
중국과 일본의 여러 단체와 정부 기관들 겨냥한 공격 이어져...다크호텔 의심돼


[보안뉴스 문가용 기자] 올해 초 파이어폭스와 인터넷 익스플로러에서 발견되고 패치된 취약점이 APT 단체들에 의해 실제 익스플로잇 되고 있다는 소식이다. 특히 중국과 일본을 겨냥한 공격에 이 취약점들이 적극 악용되고 있다고 한다.

[이미지 = iclickart]


문제의 파이어폭스 취약점은 CVE-2019-17026으로, 1월 초 모질라가 이미 패치를 발표했었다. 인터넷 익스플로러의 취약점은 CVE-2020-0674이며, 2월에 MS가 패치했다. 두 취약점 모두 패치가 나오기 전 이미 실제 공격에 활용되고 있었다.

그런데 중국의 사이버 보안 전문 업체인 치후 360(Qihoo 360)은 자사 블로그를 통해 지난 2월 “이 두 가지 보안 취약점이 모두 같은 공격 캠페인에 활용되고 있다”고 알렸다. 치후 360이 언급한 캠페인은 중국 정부 기관들을 겨냥한 것이었다.

치후 360은 “이 캠페인을 진행하는 건 다크호텔(DarkHotel)이라는 해킹 단체”라고 주장했다. 치후 360은 다크호텔을 APT-C-06이라는 이름으로 추적하고 있다. 치후 측에 의하면 “이들은 동아시아 어딘가에 근거지를 가지고 있다”고 하는데, 때때로 “반도 APT(Peninsula APT)”라는 이름으로 언급하기도 한다. 동아시아의 반도라고 하면 한국이 먼저 떠오르는데, 실제로 다크호텔을 한국(북한이 아니라 대한민국)과 연결 짓는 보안 전문가들이 꽤 있다.

일본의 국가 CERT 기관도 CVE-2019-17026과 CVE-2020-0674를 통해 일본의 여러 단체들을 공격하는 캠페인에 대해 경고문을 발표했다. 일본 현지 기준으로 지난 목요일에 게시된 이 경고문에 따르면 “공격자들이 피해자들을 속여 파이어폭스와 인터넷 익스플로러의 취약점을 익스플로잇 하도록 만들어진 웹사이트로 우회시키고 있다”고 한다.

“익스플로잇에 성공할 경우, 프록시 자동 설정(proxy auto-configuration, PAC) 파일이 다운로드 되고, 이 PAC 파일을 통해 공격자들은 특정 사이트들로 전달되어야 할 요청을 외부 서버로 우회시킬 수 있게 됩니다. 이 외부 서버는 공격자들이 제어하고 있는 것입니다.” CERT 발표문의 일부 내용이다.

일본 캠페인의 경우, 이 두 가지 취약점을 익스플로잇 하는 공격자들이 궁극적으로 피해자들에게 심고 있는 건 고스트랫(Gh0st RAT)이라는 멀웨어라고 한다. 고스트랫은 주로 중국의 사이버전 해커들이 사용하는 것으로 알려진 멀웨어다. 하지만 수년 전 소스코드가 유출되면서 아무나 사용할 수 있는 도구가 되어 버렸다.

일본 CERT에 의하면 고스트랫은 64비트 윈도우 7과 윈도우 8.1에서만 작동을 한다고 한다. 윈도우 10에서는 작동을 할 수 없는 것으로 나타났다. 따라서 오래된 버전의 윈도우 사용자들이 특히 주의해야 하는데, 관공서나 사회 기반 시설의 시스템들은 업그레이드가 쉽지 않아 나라를 불문하고 오래된 윈도우 시스템이 꽤나 많이 사용되고 있는 것으로 알려져 있다. 이번 캠페인 진행자들도 그 점을 노리는 것으로 분석된다.

3줄 요약
1. 연초에 패치됐던 브라우저 취약점, 일본과 중국 겨냥한 공격에서 활용되는 중.
2. 그런데 가장 의심되는 세력이 대한민국?
3. 옛날 윈도우 버전에서만 작동하는 멀웨어 퍼지고 있다는 것도 특징.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)