이 익스플로잇은 지난 4월말 카스퍼스키랩 제품의 사전방역 기술을 통해 발견됐으며, 인터넷 익스플로잇의 취약점 CVE-2018-8174을 사용하는 것으로 나타났다. 카스퍼스키랩 측은 이 익스플로잇이 표적형 공격에 사용된 것으로 보고 있다.

이번 인터넷 익스플로러 익스플로잇은 ‘MS 워드’ 문서로 다운로드 된다는 점이 특징이다. 특히 모든 패치가 적용된 최신버전의 ‘MS 워드’를 통해서도 다운로드 된 것으로 조사됐다.

카스퍼스키랩은 발견 즉시 이 취약점을 마이크로소프트에 알렸으며, 마이크로소프트는 지난 8일 보안 패치를 발표했다.

이번 익스플로잇은 전형적인 제로데이 취약점을 악용하는 악성 코드를 기반으로 하고 있다. 이 취약점은 UAF(Use-After-Free) 버그로, 정상적인 실행 코드가 잘못된 메모리 처리 로직을 사용할 때 발생하며 해제된 메모리와의 코드 통신으로 이어질 수 있다. 대부부의 경우 단순한 브라우저 오류로 끝나지만 익스플로잇에서 악용되면 공격자가 이 버그를 통해 시스템의 제어 기능을 장악할 수도 있다.

카스퍼스키랩 연구진의 분석 결과, 이 익스플로잇의 감염 체인 단계는 ▲피해자가 악성 RTF MS오피스 문서 수신 ▲악성 문서를 열면, 악성 코드를 포함한 HTML 페이지가 다운로드되며 익스플로잇의 두 번째 단계 실행 ▲코드가 메모리 손상 UAF 버그 실행 ▲악성 페이로드를 다운로드하는 셀코드 실행 등의 순으로 구성됐다.

이창훈 카스퍼스키랩코리아 지사장은 “버그가 수정되기 전까지 범죄자들은 이 기법을 사용해 주로 사용하는 브라우저 종류에 관계없이 인터넷 익스플로러가 강제로 페이로드를 다운로드하도록 만들어 공격을 늘릴 수 있다”며, “다행스럽게도 MS가 보안패치를 늦지 않게 적용했다. 하지만 이 취약점에 대한 익스플로잇은 해킹조직뿐 아니라 사이버 범죄자들이 많이 이용할 것으로 보여, 기업과 개인 사용자 모두 최신 패치를 즉시 설치해야 한다”고 말했다.

한편, 카스퍼스키랩 제품은 ▲HEUR:Exploit.MSOffice.Generic(RTF 문서) ▲PDM:Exploit.Win32.Generic(IE 익스플로잇) ▲PDM:Exploit.Win32.Generic(IE 익스플로잇) ▲HEUR:Exploit.Script.Generic(IE 익스플로잇) ▲HEUR:Trojan.Win32.Generic(페이로드) 등과 같은 진단명으로 익스플로잇 체인과 페이로드의 모든 단계를 탐지해 차단할 수 있다.