어도비는 지난 1일 ‘어도비 플래시 플레이어(Adobe Flash Player)’의 취약점(CVE-2018-4878)에 관한 권고안을 발표한 바 있다. 이 취약점은 조작된 플래시 개체를 통해 원격코드 실행을 감행하는 일종의 UAF(Use After Free) 형태로, 이와 관련해 한국인터넷진흥원도 권고안을 발표했다.

탈로스의 조사 결과에 따르면, 해커는 마이크로소프트 엑셀 문서에 포함된 플래시 개체를 조작하는 방법으로 이 취약점을 악용하고 있는 것으로 나타났다. 엑셀문서를 열면 조작된 코드가 실행되면서 악성 웹사이트에서 페이로드를 추가로 다운로드하며, 이때 다운로드되는 페이로드는 ‘ROKRAT’이라는 원격 관리 도구인 것으로 확인됐다. 이번 취약점 악용 사례의 특이점은 문서를 탈취하고 감염된 시스템을 관리하기 위해 클라우드 플랫폼이 동원됐다는 점이다.

시스코 탈로스 관계자는 “이번 플래시 제로데이 공격에 연루된 그룹123이 최신 ‘ROKRAT’ 페이로드와 함께 엘리트 범죄조직으로 발전하고 있다”며, “이들은 ‘어도비 플래시 플레이어’ 제로데이 취약점의 고전적인 악용 수법을 탈피해 새로운 악용 수법을 사용하고 있다”고 설명했다. 이어 “이번 공격에는 새로운 익스플로잇을 사용됐으며, 이 공격자 그룹은 자신의 공격이 성공할 것이라는 확신을 갖고 있는 것으로 보인다”고 덧붙였다.

한편, 시스코 탈로스는 그룹123로 불리는 단체가 지난해부터 올해 초까지 한국을 대상으로 7개의 공격을 감행했다고 발표한 바 있다.