알서포트 스쿱정보통신 지티원 비젠트로 알티베이스 데이터스트림즈 가온아이 마크애니 인프라닉스 파수닷컴 포시에스
06.18
뉴스홈 > 보안/해킹
시스코 탈로스, “어도비 취약점 악용 공격에 그룹123 연루”엑셀 문서에 포함된 플래시 개체 조작

   
▲ 감염된 MS 엑셀 파일 예시화면

[아이티데일리] 시스코의 보안 인텔리전스 그룹 탈로스는 어도비(Adobe)의 취약점을 분석한 리포트를 추가하며, 취약점을 악용한 공격에 그룹123(Group123)이 연루돼 있다고 6일 밝혔다.

어도비는 지난 1일 ‘어도비 플래시 플레이어(Adobe Flash Player)’의 취약점(CVE-2018-4878)에 관한 권고안을 발표한 바 있다. 이 취약점은 조작된 플래시 개체를 통해 원격코드 실행을 감행하는 일종의 UAF(Use After Free) 형태로, 이와 관련해 한국인터넷진흥원도 권고안을 발표했다.

탈로스의 조사 결과에 따르면, 해커는 마이크로소프트 엑셀 문서에 포함된 플래시 개체를 조작하는 방법으로 이 취약점을 악용하고 있는 것으로 나타났다. 엑셀문서를 열면 조작된 코드가 실행되면서 악성 웹사이트에서 페이로드를 추가로 다운로드하며, 이때 다운로드되는 페이로드는 ‘ROKRAT’이라는 원격 관리 도구인 것으로 확인됐다. 이번 취약점 악용 사례의 특이점은 문서를 탈취하고 감염된 시스템을 관리하기 위해 클라우드 플랫폼이 동원됐다는 점이다.

시스코 탈로스 관계자는 “이번 플래시 제로데이 공격에 연루된 그룹123이 최신 ‘ROKRAT’ 페이로드와 함께 엘리트 범죄조직으로 발전하고 있다”며, “이들은 ‘어도비 플래시 플레이어’ 제로데이 취약점의 고전적인 악용 수법을 탈피해 새로운 악용 수법을 사용하고 있다”고 설명했다. 이어 “이번 공격에는 새로운 익스플로잇을 사용됐으며, 이 공격자 그룹은 자신의 공격이 성공할 것이라는 확신을 갖고 있는 것으로 보인다”고 덧붙였다.

한편, 시스코 탈로스는 그룹123로 불리는 단체가 지난해부터 올해 초까지 한국을 대상으로 7개의 공격을 감행했다고 발표한 바 있다.

인기기사 순위
(우)08592 서울시 금천구 가산디지털2로 14 대륭테크노타운 12차 1314호 (주)ITMG
TEL:02-2029-7200  FAX:02-2029-7220  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김용석