제로데이 공격 ‘오퍼레이션 스노우맨’ 미 참전용사 협회 웹사이트 공격

이전 발견된 제로데이 공격과 비슷한 양상 보여 공격 배후 연관 추정

지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)는 새로운 제로데이(Zero-day) 공격 오퍼레이션 스노우맨(Operation Snowman)을 발견했다고 밝혔다. 지난 2월 11일 미국 참전용사 협회(U.S. Veterans of Foreign Wars)의 웹사이트를 타깃으로 한 이 제로데이 익스플로잇(CVE-2014-0322)은 미 동부 폭설로 마비된 국회의사당과 대통령의 날(Presidents Day) 연휴를 앞둔 혼란을 틈타 미군의 인사 정보를 목표로 한 전략적인 웹사이트 공격이다.

공격자들은 VFW 웹사이트에 침투하여 첫 화면의 HTML 코드에 공격용 iframe을 심어놓고, HTML/자바 스크립트페이지로 실행되는 플래시 오브젝트에서 익스플로잇(Exploit)이 침투되도록 했다.

이번 공격은 자바스크립트(JavaScript)를 이용하는 마이크로소프트사의 인터넷 익스플로러(IE) 10의 취약점을 이용한 것이며 구체적으로 익스플로러 10의 메모리 해제 후 사용(use-after-free) 버그의 취약점을 이용했다.

따라서 다른 버전의 인터넷 익스플로러를 사용하거나 마이크로소프트사의 EMET(Enhanced Mitigation Experience Toolkit) 보안 툴을 설치하면 제로데이 공격을 방지할 수 있다. 또한 인터넷 익스플로러 11로 업데이트하면 공격을 예방할 수 있다.

또한 파이어아이는 인프라의 중복 및 공격 방식의 유사성을 분석했을 때 이번 공격의 배후가 제로데이 취약점을 이용한 이전 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’, ‘오퍼레이션 이페머럴 하이드라(Operation Ephemeral Hydra)’ 공격자와 관련되어 있을 것이라고 밝혔다.

이전 공격과 유사점은 다음과 같다.

  • 원격 접속 트로이목마(RAT) 바이러스를 배포하기 위한 제로데이 익스플로잇 공격 활용
  • 벡터로 원격 접속 트로이목마(RAT)를 배포하는 등 전략적 웹사이트 공격
  • 싱글 바이트 암호화(XOR 0x95)를 사용하여 JPG 확장자로 위장
  • “HTTPS” 패킷 플래그의 Gh0stRat 사용
  • 비슷한 시간 프레임 동안 관련 명령 및 제어(CNC) 인프라 사용

뿐만 아니라 이번 공격과 익스플로러의 취약점 CVE-2013-3163 공격은 둘 다 익스플로잇 실행 과정에서 플래시 파일을 활용하고, 익스플로러의 취약점을 실행하기 위해 다시 자바 스크립트를 실행한다는 점에서 동일하다. 또한 각 공격의 플래시 파일 코드는 매우 유사하다. 코드는 ROP 체인과 쉘코드를 같은 방법으로 구축하고 손상시킬 플래시 벡터 개체를 선택하여 일반적인 입력 오류로 인한 동일한 기능을 가지며 심지어 같은 이름을 공유한다.

추가 분석된 사항으로 최초 오퍼레이션 스노우맨에 의해 유포된 악성코드의 경우 발생 시점에서 한 개의 백신사에서만 탐지되었고, 현재는 대부분의 백신에 의해 탐지되는 상황이다. 그러나 여전히 해당 공격에 사용된 플래시 플레이어(Flash Player)의 취약점은 대부분의 백신사에서 탐지되지 않고 있다.

KO_2_19

파이어아이 코리아 악성코드 분석가인 박성수 선임은 “제로데이 공격은 정부기관, 방위산업, 법조계, IT회사, NGO 단체 등 다양한 산업군을 타깃으로 하고 있다. 그러나 제로데이 익스플로잇은 제품 공급사에서 패치를 제공 하기 전까지는 탐지 및 차단이 거의 불가능 하며 새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공 되기 전에 국내에도 진행될 가능성이 매우 높다. 따라서 기업들의 각별한 주의가 필요하다”라고 말했다.

이번 제로데이 공격 오퍼레이션 스노우맨에 대한 자세한 정보는 파이어아이 블로그에서 확인할 수 있다.

Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website

 

###

파이어아이에 대하여
차세대 위협 방어(NGTP) 기술의 선도업체인 파이어아이는 기존의 방어 체계를 우회 공격하는 지능적 지속위협(APT), 제로데이와 같은 차세대 위협에 대응하는 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지/차단 하며, 웹이나 이메일을 매개로 하는 공격이나 파일 공유 시 발생하는 악성코드에 대한탐지 및 차단을 모두 제공 한다. 이는 공격의 시작부터 종료까지 공격 주기 전반에 걸쳐 위협에 대응하는 업계 유일의 솔루션이다. 이와 더불어, 파이어아이의 특허 받은 가상실행기술플랫폼은 차세대위협에 대응하는 고유의 기술로서 자사의 포트폴리오 전반에 적용된다. 파이어아이의 솔루션은 현재 전 세계 40 여 개 이상, 포춘 선정 글로벌 100대 기업의 25% 이상에서 사용 중이다. 보다 자세한 사항은 https://www.fireeye.com 에서 확인 할 수 있다.

 

자료문의

파이어아이 코리아                    이상도 이사  / 02-559-0730  / sangdo.lee@fireeye.com

샤우트웨거너에드스트롬   홍승재 부장, 이수경 대리 / 02-6250-9843 / fireeye_pr@shoutwe.com