폴아웃 익스플로잇 킷, 잠시 주춤하나 했더니 업그레이드 되어 나타나
플래시 플레이어에서 발견된 제로데이 익스플로잇과 파워셸 기능 추가돼

[보안뉴스 문가용 기자] 폴아웃(Fallout) 익스플로잇 킷의 최신 버전이 나타났다. 이전 버전에 없던, 최근 플래시에서 발견된 제로데이가 추가됐다고 한다. 이러한 내용을 보안 업체 멀웨어바이츠(Malwarebytes)가 발표했다.


폴아웃은 2018년 9월 처음 상세히 공개된 툴킷으로 당시 각종 랜섬웨어와 백도어들을 배포하는 데에 활용되고 있었다. 또한 브라우저 프로파일을 조사해 원하는 표적을 찾아내는 기능도 갖추고 있었다.

그런 폴아웃은 2018년 말까지 왕성한 활동력을 보여주었다. 하지만 1월 초 폴아웃 운영자들은 휴가라도 떠난 듯 조용해졌다. 이제와 보니 폴아웃에 대한 업그레이드를 하는 시간을 가지기 위함이었다. 폴아웃이 잠시 주춤한 사이 리그(RIG) 익스플로잇 킷의 활동력이 높아졌다.

폴아웃 익스플로잇 킷은 주로 멀버타이징을 통해 배포된다. 특히 성인 콘텐츠 사이트의 트래픽을 통해 번져가는 경우가 많다. 이번에 다시 나타난 폴아웃은 1월 15일부터 발견되기 시작했는데, 핵심 페이로드는 갠드크랩(GandCrab) 랜섬웨어인 것으로 나타났다.

가장 눈에 띄는 업그레이드는 CVE-2018-15982에 대한 익스플로잇 기능이 추가되었다는 것이다. 이는 어도비 플래시 플레이어에서 발견된 취약점으로, 원격 코드 실행을 가능하게 한다. 폴아웃 말고도 실제 해킹 공격에 활용된 사례가 있고, 어도비 측은 그에 따라 패치를 진행한 바 있다.

또한 언더마이너(Underminer)라는 익스플로잇 킷에서도 이미 CVE-2018-15982 취약점이 활용되기도 했다. 언더마이너는 2018년 12월 중순부터 활동하기 시작했고, 이에 따라 폴아웃도 금방 유행을 좇아간 것으로 보인다.

플래시 플레이어는 제로데이 취약점이라는 측면에서 역사와 전통을 자랑하는 소프트웨어다. 이에 따라 제조사인 어도비는 2020년까지 플래시를 완전히 없애겠다는 계획을 발표했고, 주요 인터넷 브라우저 제조사들 역시 플래시에 대한 지원을 중단시키겠다는 계획을 수립하고 실천 중에 있다. 그 중 하나인 파이어폭스는 올해 안에 플래시 플레이어에 대한 디폴트 지원을 중단시킬 예정이다.

이번에 발견된 폴아웃에는 암호화된 통신 프로토콜인 HTTPS에 대한 지원 기능과 새로운 랜딩 페이지 포맷이 추가됐다. 최종 페이로드를 실행하는 데에 파워셸을 사용하는 기능 역시 새롭게 더해졌다.

iexplorer.exe 대신 파워셸을 사용한다는 건 보안 장치들에 대한 우회 기능을 강화했다는 뜻이다. 멀웨어바이츠 측은 “인터넷 익스플로러의 프로세스에서 악성 페이로드가 드롭되는 경우가 많고, 보안 솔루션들도 이러한 점을 예의 주시하게 때문에 새로운 방식을 택한 것으로 보인다”고 설명했다.

그러면서 멀웨어바이츠는 “이번 업그레이드는 공격자들이 사이버 보안 업계의 동향을 늘 관찰하고 있으며, 방어 기법에 따라 공격법을 조정하고 발전시킨다는 것의 증거”라고 지적했다.

“2018년에도 인터넷 익스플로러와 플래시 플레이어에서 제로데이가 몇 가지 발견된 바 있습니다. 그리고 이 발견은 곧바로 쉽고 활용하기 좋은 툴킷 개발로 이어졌죠. 물론 인터넷 익스플로러와 플래시 플레이어의 사장 점유율은 떨어지고 있습니다만, 여전히 오래된 시스템을 사용하는 나라들이 많이 있습니다. 그래서 이런 툴킷들이 계속해서 등장하는 것입니다.”

3줄 요약
1. 얼마 전 플래시 플레이어에서 발견된 제로데이 취약점에 대한 익스플로잇 나옴.
2. 이 익스플로잇은 1월 초반부터 15일까지 활동을 멈췄던 폴아웃 익스플로잇 킷에 추가됨.
3. 업그레이드 된 폴아웃, 다시 활발하게 활동 이어가기 시작함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>