[아이티데일리] 파이어아이(한국지사장 전수홍)는 SOAP WSDL 파서 코드 주입 취약점인 ‘CVE-2017-8759’를 활용한 악성 마이크로소프트(MS) 오피스 RTF(Rich Text Format) 문서를 발견했다고 18일 밝혔다.

이번에 발견된 악성 문서 ‘Проект.doc’는 러시아어 사용자를 공격 대상으로 삼았을 가능성이 있는 것으로 확인됐다. 제로데이 취약점 공격 성공시 다수의 요소가 다운로드 되고 ‘핀스파이(FINSPY)’ 페이로드가 설치됐다.

‘핀피셔(FinFisher)’ 또는 ‘윙버드(Wingbird)’로도 알려진 핀스파이 멀웨어는 합법적 해킹의 용도로 구매 가능하다. 파이어아이는 악성 문서가 사이버 스파이 활동 목적으로 러시아어를 사용하는 조직을 대상으로 악용됐을 것이라고 추정하고 있다.

파이어아이는 CVE-2017-8759가 다른 공격자들에 의해 추가로 사용 됐을 가능성 또한 발견했다. 아직 정확한 증거는 확보하지 못했지만, 2017년 4월 발생한 핀스파이 배포에 사용 된 제로데이 취약점 CVE-2017-0199가 금전적 동기를 가진 공격자들로부터 동시에 사용된 것으로 확인됐다. 핀스파이 공격자들이 기존과 동일한 출처로부터 취약점을 확보했다면, 해당 출처는 다른 공격자들에게도 취약점을 판매했을 가능성이 높다.

파이어아이는 파워쉘 명령을 포함한 비주얼 베이직 스크립트(Visual Basic Script; VBS)를 다운로드 및 실행하기 위해 임의코드를 주입한 마이크로소프트 워드 문서를 분석했다. 파이어아이는 취약점에 대한 상세 정보를 마이크로소프트에 공유하고 취약점 해결을 위한 보안 가이드 패치 발표를 위해 협력하고 있다.

전수홍 파이어아이코리아 지사장은 “일반적으로 제로데이 공격은 정부기관, 방위산업, 법조계, IT회사, NGO 단체 등 다양한 산업군을 타깃으로 하고 있으며, 제품 공급사에서 패치를 제공하기 전까지는 탐지 및 차단이 거의 불가능하다”며, “새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공되기 전에 국내에도 진행될 가능성이 매우 높다. 따라서 기업들의 각별한 주의가 필요하다”고 말했다.