대중적 사이트를 통해 워터링홀 기법, 악성코드 포함 스피어 피싱 메일 살포 MS Office 제로데이 취약점 공격, ‘개념증명코드'(PoC) 분석을 통한 공격 등대중적 사이트를 통해 워터링홀 기법, 악성코드 포함 스피어 피싱 메일 살포 MS Office 제로데이 취약점 공격, ‘개념증명코드'(PoC) 분석을 통한 공격 등(사진=셔터스탁)[애플 경제의 전·윤 미 기자]정부 보고서를 위장한 MS워드 제로 데이의 약점을 노리는 사이버 공격이 잇따르고 있다.이는 사용자가 자주 접속하는 사이트를 통한 워터 링 홀 기법, 악성 코드를 첨부하고 감염시키는 스피아핏싱그 전자 메일을 통해서 악성 코드를 유포시키는 등 다양한 수법을 구사하고 있다.이에 대한 금융 보안원은 26일”공급망 서버를 악용한 악성 코드 유포 기법 등을 포함한 MS Office제로 데이 취약점(CVE-2022-41128)를 이용한 사이버 공격, 개념 증명 코드(PoC)분석을 통한 Type Confusion취약점 공격, MS보안 패치의 취약점 등을 적극 공략하고 있다.이라며 이같이 밝혔다.특히 정부 보고서를 위장한 MS워드 제로 데이의 약점을 노리고 있다는 점에서 이는 자칫 사회 전반에 큰 피해를 줄 수 있다.금융 보안원도 이 점을 인식하고 이날 긴급으로 그 수법과 작동 방식, 침투 경로 등을 실제의 이미지와 도표 등을 통해서 자세히 전했다.대중적인 MS오피스, 한컴 오피스 등의 이용 우선 해커는 일단 가장 대중적인 마이크로 소프트 오피스, 한컴 오피스 등을 이용한다.이는 다수의 목표를 효과적으로 감염시키기 위한 것이다.특히 대중 일반이 가장 관심을 가진 이슈, 예를 들면”이태원 참사”관련 정부 보고서 등을 가장하고 악성 코드를 유포하는 것도 있다.”이태원 참사가 국민적 관심을 끌었고 모두가 슬픔에 잠긴 때 공격자는 스피아핏싱그 E메일을 통해서 악성 문서를 유포한 “다며 구글의 “사이버 위협 그룹 보고서(Threat Analysis Group(TAG)”을 인용했다.이에 따르면 해당 공격은 북한 해킹 그룹인 APT37의 공격으로 추정된다.당시 스피아핏싱그의 전자 메일에 첨부된 문제의 악성 문서는 3단계에 걸친 악성 코드를 유포했다고 한다.우선 제1단계는 사용자가 악성 문서(워드 파일)을 열람할 때 최초의 공격자 서버에 유인하고 악성 RTF파일을 다운로드시킨다.다음에 악성 RTF파일 내의 조작된 URL로 2번째 공격자 서버에 유인하고 HTML파일을 다운로드한다.그리고 사용자가 워드로 HTML을 실행할 때”IE JScript9″엔진”Type Confusion”의 취약성을 노리고 악성 코드를 실행하는 수법이다.”이태원 참사”정부 보고서 악용도 이들 해커들은 그 과정에서 또 MS Office제로 데이 취약성(CVE-2022-41128)를 이용한 사이버 공격을 가하고 있다.금융 보안원에 따르면 역시”이태원 참사”당시 행정 안전부는 “서울 이태원 사고 대처 상황 보고(10.31일 06:00)_수정”라는 이름으로 해당 보고서를 게시판을 통해서 공개했다.해당 문서는 한글 문서(. hwp)형태였다.”그러나 해당 한글 문서는 취약성이 담긴 악성 워드 문서 형태로 재활용된 “이라며”뒤가 이 문서가 마이크로 소프트사의 패치가 존재하지 않는 제로 데이 취약성(CVE-2022-41128)임을 확인했다”이라는 설명이다.이를 받고 지난해 11월 마이크로 소프트사는 정식 업데이트를 통해서 해당 취약성에 대한 패치를 포함하고 발표한 바 있다.또”개념 증명 코드”(PoC)분석에 의한 “Type Confusion”의 취약성을 노린 사이버 공격도 빈발하고 있다.금융 보안원은 특히”인터넷 익스플로러에서 동작하는 『 JIT Compiler』이 형(Type)를 처리하는 과정에서 혼란이 생기고 발생하는 약점”이라고 설명했다.”JIT Compiler”는 인터프리터 방식으로 기계어 코드를 생성하면서 그 코드를 캐싱 하는 컴파일러 방식이다.” 같은 함수가 여러 차례 부를 때 매번 기계어 코드를 생성하는 것을 방지하고 코드가 실행되는 과정에서 컴파일이 실시간으로 일어나는 것이 특징”이라는 설명이다.잘 컴파일러 방식에는 이것과 다른 것이 있다.인터프리터 방식으로 실행 중 프로그래밍 언어를 읽으면서 해당 기능에 대응하는 기계어 코드를 실행시키는 경우가 있어 정적 컴파일 방식으로 실행하기 전에 프로그램 코드를 기계어로 번역한 기계어 코드를 최종 실행되는 경우도 있다.”JIT Compiler”는 컴파일이 실시간으로 일어난다고 해서”Just-in-Time”를 줄인 용어이다.실제로 Chrome, Ege, Firefox등은 JavaScript을 처리하려면 각각 다른 종류의 “JIT Compiler”를 사용하고 있다.그 종류는 V8, Chakara, Spider Monkey등이 있다.”지난해 10월에 발생한 제로 데이의 취약성은 인터넷 익스플로러 『 Chakra』 타입의 JIT Compiler에서 발생한 “이라는 설명이다.(사진-어도비 스톡)MS보안 패치 분석의 취약성도 공격 외에 MS보안 패치 분석을 통한 취약성도 공격의 대상이 됐다.금융 보안원에 따르면 특히 침해 사고에서 발견된 취약성(CVE-2022-41128)(64bit기준)에 대한 사이버 공격에 주목하고 분석하고 있다.즉, 해커는 처음부터 제로 데이의 취약성을 활용하여 악성 코드를 유포하기보다 총 3단계에 걸친 엑스 프로 라이트를 수행했다.그리고 마지막 단계에서 인터넷 익스플로러 JScript9의 “Type Confusion”취약성(CVE-2022-41128)을 이용했다.이에 따르면 우선 해커는 원격지에서 워드 템플릿 파일을 다운로드하고 설정하는 기능을 사용하고 RTF을 다운로드했다.이후 RTF파일은 “OLE2Link”원격 코드 실행 취약성(CVE-2017-0199)을 통해서 해커 사이트에서 악성 스크립트를 다운로드했다.또 3단계에서 “IE JScript9″엔진에서 발생하는 “Type Confusion”의 취약성(CVE-2022-41128)을 통해서 셸 코드를 실행했다.금융 보안 위원은 이런 개괄적 내용을 소개하면서”지원이 마무리된 소프트웨어(IE등)이라도 보급 범위가 넓고 다른 소프트웨어와 연계하고 사이버 공격에 활용될 때 효과가 높으면 지속적으로 악용될 수 있으므로 주의가 필요하다”고 당부했다.출처:애플 경제http://www.apple-economy.com/애플경제 디지털 경제지 – 애플경제 www.apple-economy.com애플경제 디지털 경제지 – 애플경제 www.apple-economy.com애플경제 디지털 경제지 – 애플경제 www.apple-economy.com
