MS가 패치한 제로데이, 이미 표적 공격에 활용되고 있어 2019.03.14

프루티아머와 샌드캣이라는 단체...표적 공격에 사용 중
표적은 정확히 알 수 없어...제로데이 공격을 원래 전문으로 하던 그룹


[보안뉴스 문가용 기자] 이번 주 마이크로소프트가 패치한 제로데이 취약점 하나가 해킹 그룹들의 손에 활발히 악용되고 있다는 소식이다. 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 파악한 바에 의하면 프루티아머(FruityArmor)와 샌드캣(SandCat)이라는 단체가 표적 공격에 취약점을 익스플로잇하는 중이라고 한다.

[이미지 = iclickart]


MS가 어제 발표한 정기 패치는 총 64개의 취약점을 다루고 있었는데, 이 중에는 두 개의 윈도우 제로데이 취약점이 포함되어 있었다. 둘 다 권한을 상승시키는 취약점으로, 그 중 하나인 CVE-2019-0808은 구글의 위협 분석 그룹(Threat analysis Group)이 발견해 MS 측으로 알린 것이다. 이 취약점은 크롬의 제로데이 취약점과 함께 실제 표적 공격에 활용되고 있다고 구글은 경고했었다.

두 번째 제로데이 취약점은 CVE-2019-0797인데, 패치 노트에는 이 취약점이 실제로 활용되고 있다는 내용이 없었다. 그리고 오늘 카스퍼스키가 “이 취약점 역시 실제 표적 공격에 활발하게 이용당하고 있다”고 발표한 것이다.

카스퍼스키가 지목한 해킹 그룹 중 프루티아머는 이미 수년 째 보안 커뮤니티에 알려진 이름이다. 최소한 2016년부터 활동을 시작한 단체로, 연구원, 활동가, 정부 관계자들을 겨냥한 표적 공격에 다양한 윈도우 제로데이 취약점을 악용해왔다. 태국, 이란, 알제리, 예멘, 사우디아라비아, 스웨덴과 관련된 곳들을 주로 공격했었다.

프루티아머는 최근 윈도우의 또 다른 제로데이 취약점을 통해 중동의 여러 단체들을 표적 공격하기도 했다. 마이크로소프트는 해당되는 제로데이를 2018년 10월 정기 패치를 통해 해결한 바 있다.

반면 샌드캣은 공개된 지 얼마 되지 않은 공격 단체로, 카스퍼스키가 발견해 알린 바 있다. 지난 12월 마이크로소프트가 패치한 윈도우 취약점들 중 한 가지를 악용하는 단체로서 모습을 드러냈고, 당시에는 중동과 아프리카 지역의 단체들을 노리고 있었다.

샌드캣의 또 다른 특징은 핀피셔(FinFisher) 혹은 핀스파이(FinSpy)라고 알려진 스파이웨어와 체인샷(CHAINSHOT)이라는 멀웨어를 사용한다는 것이다. 또 CVE-2018-8589와 CVE-2018-8611이라는 윈도우 취약점 두 개를 익스플로잇 했다는 흔적이 나타나기도 했다. 이 두 취약점 역시 제로데이 취약점으로, 마이크로소프트가 작년에 패치했다.

카스퍼스키의 보안 연구원인 안톤 이바노프(Anton Ivanov)는 “프루티아머와 샌드캣이 최근 취약점인 CVE-2019-0797을 공격했던 표적들에 대한 정보는 아직 확보되지 않았다”고 설명한다. 이전 이력들을 보면 중동이나 아프리카 등지의 단체들이 유력해보이긴 하지만, 아직 명확한 데이터가 나온 건 아니다.

한편 CVE-2019-0797은 최근 카스퍼스키가 ‘실제 공격에 활발히 사용되고 있는 제로데이 취약점’으로 밝혀내고 세상에 알린, 네 번째 취약점이다.

3줄 요약
1. MS가 엊그제 패치한 제로데이 취약점 중 하나가 활발히 익스플로잇 되고 있음.
2. 공격 단체는 프루티아머와 샌드캣. 각각 윈도우 제로데이에 일가견이 있는 단체.
3. 공격 표적은 아직 알려지지 않은 상태. 아프리카나 중동 지역일 가능성 높음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


中 “2월 바이러스 감염 컴퓨터 92만대...보안취약점 1천개”

서울시, 세계 최고 전자정부 넘어 스마트시티로 간다