파이어폭스와 IE 취약점 통해 중국과 일본 공격! 용의국은 한국?

입력 : 2020-04-03 13:10

1월과 2월, 모질라와 마이크로소프트가 각각 패치했던 브라우저 내 취약점
중국과 일본의 여러 단체와 정부 기관들 겨냥한 공격 이어져...다크호텔 의심돼

[보안뉴스 문가용 기자] 올해 초 파이어폭스와 인터넷 익스플로러에서 발견되고 패치된 취약점이 APT 단체들에 의해 실제 익스플로잇 되고 있다는 소식이다. 특히 중국과 일본을 겨냥한 공격에 이 취약점들이 적극 악용되고 있다고 한다.


문제의 파이어폭스 취약점은 CVE-2019-17026으로, 1월 초 모질라가 이미 패치를 발표했었다. 인터넷 익스플로러의 취약점은 CVE-2020-0674이며, 2월에 MS가 패치했다. 두 취약점 모두 패치가 나오기 전 이미 실제 공격에 활용되고 있었다.

그런데 중국의 사이버 보안 전문 업체인 치후 360(Qihoo 360)은 자사 블로그를 통해 지난 2월 “이 두 가지 보안 취약점이 모두 같은 공격 캠페인에 활용되고 있다”고 알렸다. 치후 360이 언급한 캠페인은 중국 정부 기관들을 겨냥한 것이었다.

치후 360은 “이 캠페인을 진행하는 건 다크호텔(DarkHotel)이라는 해킹 단체”라고 주장했다. 치후 360은 다크호텔을 APT-C-06이라는 이름으로 추적하고 있다. 치후 측에 의하면 “이들은 동아시아 어딘가에 근거지를 가지고 있다”고 하는데, 때때로 “반도 APT(Peninsula APT)”라는 이름으로 언급하기도 한다. 동아시아의 반도라고 하면 한국이 먼저 떠오르는데, 실제로 다크호텔을 한국(북한이 아니라 대한민국)과 연결 짓는 보안 전문가들이 꽤 있다.

일본의 국가 CERT 기관도 CVE-2019-17026과 CVE-2020-0674를 통해 일본의 여러 단체들을 공격하는 캠페인에 대해 경고문을 발표했다. 일본 현지 기준으로 지난 목요일에 게시된 이 경고문에 따르면 “공격자들이 피해자들을 속여 파이어폭스와 인터넷 익스플로러의 취약점을 익스플로잇 하도록 만들어진 웹사이트로 우회시키고 있다”고 한다.

“익스플로잇에 성공할 경우, 프록시 자동 설정(proxy auto-configuration, PAC) 파일이 다운로드 되고, 이 PAC 파일을 통해 공격자들은 특정 사이트들로 전달되어야 할 요청을 외부 서버로 우회시킬 수 있게 됩니다. 이 외부 서버는 공격자들이 제어하고 있는 것입니다.” CERT 발표문의 일부 내용이다.

일본 캠페인의 경우, 이 두 가지 취약점을 익스플로잇 하는 공격자들이 궁극적으로 피해자들에게 심고 있는 건 고스트랫(Gh0st RAT)이라는 멀웨어라고 한다. 고스트랫은 주로 중국의 사이버전 해커들이 사용하는 것으로 알려진 멀웨어다. 하지만 수년 전 소스코드가 유출되면서 아무나 사용할 수 있는 도구가 되어 버렸다.

일본 CERT에 의하면 고스트랫은 64비트 윈도우 7과 윈도우 8.1에서만 작동을 한다고 한다. 윈도우 10에서는 작동을 할 수 없는 것으로 나타났다. 따라서 오래된 버전의 윈도우 사용자들이 특히 주의해야 하는데, 관공서나 사회 기반 시설의 시스템들은 업그레이드가 쉽지 않아 나라를 불문하고 오래된 윈도우 시스템이 꽤나 많이 사용되고 있는 것으로 알려져 있다. 이번 캠페인 진행자들도 그 점을 노리는 것으로 분석된다.

3줄 요약
1. 연초에 패치됐던 브라우저 취약점, 일본과 중국 겨냥한 공격에서 활용되는 중.
2. 그런데 가장 의심되는 세력이 대한민국?
3. 옛날 윈도우 버전에서만 작동하는 멀웨어 퍼지고 있다는 것도 특징.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  2024년 3월 악성코드 공격 동향 분석해보...

• 4

  근로복지공단 고양지사 퇴사 직원, 내부 일탈...

• 5

  KB증권, 당사 사칭 카카오톡 공모주 청약 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...