파이어아이, 국내 뉴스 사이트를 통해 유포된 공다 익스플로잇 킷 포착

- 보안 패치된 취약점 및 알려진 익스플로잇 킷이 아직까지 공격 수단으로서 유효…국내 사이버 공격 대응 역량에 경종

- 파이어아이, 공격에 이용된 인프라를 근거로 공다 익스플로잇 킷이 중국에서 기원한 것으로 추정

2016년 3월 21일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 국내 뉴스 사이트를 통해 공다 익스플로잇 킷(GonDa Exploit Kit)이 유포된 정황을 포착했다고 밝혔다. 공다 익스플로잇 킷은 지난 2014년부터 성행한 비교적 오래된 익스플로잇 킷으로, 이번 공격 사례는 구식의 익스플로잇 킷이 아직도 국내에서 사이버 공격 수단으로서 유효했다는 점에서 주목된다.

공다 익스플로잇 킷은 익스플로잇를 이용해 취약한 엔드포인트를 감염시키고, 타깃 시스템에 유해한 악성코드를 설치하는 익스플로잇 킷이다. 해당 익스플로잇 킷은 아직까지 자바(Java) 익스플로잇을 이용하는 비교적 오래된 공격 수단이며, 어도비 플래시 플래이어(Adobe Flash Player)와 MS비주얼 베이직 스크립트(VBScript) 익스플로잇도 포함하고 있었다. 공다 익스플로잇 킷은 앵글러(Angler) 혹은 뉴트리노(Neutrino)와 같이 새로이 등장한 익스플로잇 킷에 비해 여러 단점을 가지고 있음에도 불구하고, 이번 공격 사례에서 증명됐듯이, 아직까지 공격 수단으로서 이용되고 있으며 공격 수단으로서 효력도 있었다.

파이어아이가 조사한 결과에 따르면, 공다 익스플로잇 킷의 공격 패턴은 이전의 탐지된 패턴들과 다르지 않았다. 공다 익스플로잇 킷에 의해 변조된 사이트는 악의적인JS 파일이 삽입되어 있으며 익스플로잇 킷의 랜딩페이지로 방문자를 유인한다. 실제로, 다수의 국내 뉴스 사이트들은 공다 익스플로잇 킷의 랜딩페이지로 리다이렉션 시키는 악성 JS파일이 삽입되어 있었으며, 이 랜딩 페이지는 타깃 시스템에 적합한 익스플로잇을 선택한다. 이번 공격에서는 윈도우OLE 메모리 원격 코드 실행 취약점(CVE-2014-6332)이 이용됐다. 이 취약점은 지난 2014년 11월에 이미 보안 패치 됐으나, 아직까지 사이버 공격에 흔히 이용되고 있다.

파이어아이는 공다 익스플로잇 킷이 중국을 기반으로 한다고 추정하고 있다. 파이어아이에 따르면, 공다 익스플로잇 킷은 지속적으로 중국 최대 규모의 ISP 업체인 차이나 텔레콤(China Telecom)의 네트워크 AS4134가 호스팅하는 인프라를 이용하고 있었다. 또한, 해당 익스플로잇 킷이 익스플로잇 킷 트래픽 및 감염 통계 조사를 위해 이용한 스탯카운터(stat counter)를 추적한 결과, 다수의 공격이 차이나 텔레콤이 호스팅하는 중국의 웹 트래픽 서비스를 이용했다. 파이어아이는 공다 익스플로잇 킷이 공격에 이용한 인프라와 공격 역량 등을 미루어 해당 익스플로잇 킷이 중국에서 기원한 것이라고 추정한다고 전했다.

파이어아이 코리아 전수홍 지사장은 “공다 익스플로잇 킷을 이용한 공격은 새로운 유형의 공격은 아니며, 오히려 아태지역에서는 비교적 흔한 공격 수법이다. 이미 패치된 취약점과 알려진 익스플로잇 킷을 이용한 공격이 국내에서 아직 효력을 발휘하고 있다는 것은 국내 뉴스 사이트를 비롯한 많은 조직이 체계적인 사이버 방어 시스템을 갖추지 못했다는 것”이라며 “보안 패치에 대한 지속적인 관심과 사이버 방어 시스템을 구축하는 것이 시급하다”고 말했다.

공다 익스플로잇 킷에 대한 보다 자세한 정보는 파이어아이 공식 블로그에서 확인할 수 있다.

참고자료

[그림1] 공다 익스플로잇 킷의 공격 체인

[그림2] JS 파일 내에 삽입된 악성 스크립트

 

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 680개 기업을 포함한 4,400개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

 

자료 문의

파이어아이 코리아         김세라 이사 / 02-559-0726 / sera.kim@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

김준경 이사 / 010-7176-5424 / joon@mincomm.com

정유림 A.E / 010-9914-5529 /yurim@mincomm.com