2018.06.18

“2018년 1분기, MS 오피스 익스플로잇 공격 4배 증가”…카스퍼스키랩

편집부 | ITWorld
카스퍼스키랩은 마이크로소프트 오피스의 버그나 취약점을 활용한 익스플로잇이 2018년 1분기에 성행했다고 발표했다.

악성 오피스 문서를 통한 공격을 받은 사용자 수는 전체적으로 2017년 1분기 대비 4배 증가한 것으로 나타났다. 단 3개월 사이에 익스플로잇 공격 가운데 마이크로소프트 오피스 익스플로잇이 차지하는 비중이 약 50% 증가했으며, 2017년 전체에 걸쳐 마이크로소프트 오피스 익스플로잇이 차지하는 평균 비중의 2배에 달하는 수치다. 카스퍼스키랩이 발행한 1분기 IT 위협 진화 보고서에서는 이런 추세를 비중있게 다루고 있다.

익스플로잇을 활용한 공격은 사용자의 행위가 추가로 필요하지 않고 사용자 모르게 악성코드를 유포할 수 있기 때문에 위력이 강한 공격에 속한다. 그래서 단순히 돈을 노리는 범죄자는 물론 정교한 형태의 국가 지원 해커들 모두에게 널리 사용되는 수단이다.

2018년 1분기는 대중적으로 사용되는 마이크로소프트 오피스를 노리는 익스플로잇이 대거 발생한 시기였다. 2017∼18년 사이에 유포된 어도비 플래시 플레이어 익스플로잇은 2개 발견된 데 반해 마이크로소프트 오피스의 익스플로잇은 10가지 이상 유포된 것으로 미뤄 보아 카스퍼스키랩의 연구진들은 이런 현상이 이전부터 지속되다가 2018년 1분기에 정점을 찍은 것으로 추측한다.

카스퍼스키랩의 추측대로 2018년 1분기 익스플로잇 분포도에서 어도비 플래시 플레이어 익스플로잇은 3% 미만으로 나타나 비중이 줄어들고 있다. 어도비와 마이크로소프트가 플래시 플레이어의 익스플로잇 차단에 노력을 쏟은 덕분이라고 평가했다.



해커가 취약점에 대해 알고 나면 익스플로잇을 준비한다. 그런 다음 주로 스피어피싱을 감염 벡터로 사용해 악성 파일이 첨부된 이메일로 사용자 및 기업을 감염시킨다. 게다가 이런 스피어피싱 공격은 조심스럽게 진행되고 정교한 표적형 공격에서 많이 사용된다. 지난 6개월만 살펴보아도 이런 현상은 분명히 드러난다.

예를 들어 2017년 가을 카스퍼스키랩의 지능형 익스플로잇 방지 시스템이 고객의 시스템에서 신종 어도비 플래시 제로데이 익스플로잇을 발견했다. 해당 익스플로잇은 마이크로소프트 오피스 문서를 통해 전달됐으며 최종 페이로드는 최신 FinSpy 악성코드였다. 페이로드를 분석한 결과 연구진은 이 공격과 ‘블랙오아시스(BlackOasis)’라는 해커 집단이 연관돼 있을 가능성이 아주 높다는 결론을 내렸다.

같은 달에 카스퍼스키랩은 버전에 관계없이 모든 마이크로소프트 오피스에 표적형 공격을 실행하기 위해 사용되는 치명적인 제로데이 취약점 СVE-2017-11826의 상세 분석 보고서를 발표했다. 이 취약점의 익스플로잇은 DOCX 파일을 포함하는 RTF 문서로, 오피스 오픈 XML 파서에서 СVE-2017-11826을 악용한다. 마지막으로 불과 며칠 전에 인터넷 익스플로러 제로데이 CVE-2018-8174에 대한 정보가 발표됐다. 이 취약점 또한 표적형 공격에 사용되는 것이다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “1분기 위협 양상을 미뤄볼 때 보안 패치 관리에 소홀할 경우 아주 큰 위험을 초래할 수 있다는 사실을 다시 한 번 확인할 수 있었다”며, “소프트웨어 업체가 취약점 패치를 발표해도 사용자가 제때 업데이트하지 않으면 사이버 범죄 조직이 널리 알려진 취약점을 통해 은밀하게 진행되는 고도의 공격에 당할 수 밖에 없다”고 말했다. editor@itworld.co.kr


2018.06.18

“2018년 1분기, MS 오피스 익스플로잇 공격 4배 증가”…카스퍼스키랩

편집부 | ITWorld
카스퍼스키랩은 마이크로소프트 오피스의 버그나 취약점을 활용한 익스플로잇이 2018년 1분기에 성행했다고 발표했다.

악성 오피스 문서를 통한 공격을 받은 사용자 수는 전체적으로 2017년 1분기 대비 4배 증가한 것으로 나타났다. 단 3개월 사이에 익스플로잇 공격 가운데 마이크로소프트 오피스 익스플로잇이 차지하는 비중이 약 50% 증가했으며, 2017년 전체에 걸쳐 마이크로소프트 오피스 익스플로잇이 차지하는 평균 비중의 2배에 달하는 수치다. 카스퍼스키랩이 발행한 1분기 IT 위협 진화 보고서에서는 이런 추세를 비중있게 다루고 있다.

익스플로잇을 활용한 공격은 사용자의 행위가 추가로 필요하지 않고 사용자 모르게 악성코드를 유포할 수 있기 때문에 위력이 강한 공격에 속한다. 그래서 단순히 돈을 노리는 범죄자는 물론 정교한 형태의 국가 지원 해커들 모두에게 널리 사용되는 수단이다.

2018년 1분기는 대중적으로 사용되는 마이크로소프트 오피스를 노리는 익스플로잇이 대거 발생한 시기였다. 2017∼18년 사이에 유포된 어도비 플래시 플레이어 익스플로잇은 2개 발견된 데 반해 마이크로소프트 오피스의 익스플로잇은 10가지 이상 유포된 것으로 미뤄 보아 카스퍼스키랩의 연구진들은 이런 현상이 이전부터 지속되다가 2018년 1분기에 정점을 찍은 것으로 추측한다.

카스퍼스키랩의 추측대로 2018년 1분기 익스플로잇 분포도에서 어도비 플래시 플레이어 익스플로잇은 3% 미만으로 나타나 비중이 줄어들고 있다. 어도비와 마이크로소프트가 플래시 플레이어의 익스플로잇 차단에 노력을 쏟은 덕분이라고 평가했다.



해커가 취약점에 대해 알고 나면 익스플로잇을 준비한다. 그런 다음 주로 스피어피싱을 감염 벡터로 사용해 악성 파일이 첨부된 이메일로 사용자 및 기업을 감염시킨다. 게다가 이런 스피어피싱 공격은 조심스럽게 진행되고 정교한 표적형 공격에서 많이 사용된다. 지난 6개월만 살펴보아도 이런 현상은 분명히 드러난다.

예를 들어 2017년 가을 카스퍼스키랩의 지능형 익스플로잇 방지 시스템이 고객의 시스템에서 신종 어도비 플래시 제로데이 익스플로잇을 발견했다. 해당 익스플로잇은 마이크로소프트 오피스 문서를 통해 전달됐으며 최종 페이로드는 최신 FinSpy 악성코드였다. 페이로드를 분석한 결과 연구진은 이 공격과 ‘블랙오아시스(BlackOasis)’라는 해커 집단이 연관돼 있을 가능성이 아주 높다는 결론을 내렸다.

같은 달에 카스퍼스키랩은 버전에 관계없이 모든 마이크로소프트 오피스에 표적형 공격을 실행하기 위해 사용되는 치명적인 제로데이 취약점 СVE-2017-11826의 상세 분석 보고서를 발표했다. 이 취약점의 익스플로잇은 DOCX 파일을 포함하는 RTF 문서로, 오피스 오픈 XML 파서에서 СVE-2017-11826을 악용한다. 마지막으로 불과 며칠 전에 인터넷 익스플로러 제로데이 CVE-2018-8174에 대한 정보가 발표됐다. 이 취약점 또한 표적형 공격에 사용되는 것이다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “1분기 위협 양상을 미뤄볼 때 보안 패치 관리에 소홀할 경우 아주 큰 위험을 초래할 수 있다는 사실을 다시 한 번 확인할 수 있었다”며, “소프트웨어 업체가 취약점 패치를 발표해도 사용자가 제때 업데이트하지 않으면 사이버 범죄 조직이 널리 알려진 취약점을 통해 은밀하게 진행되는 고도의 공격에 당할 수 밖에 없다”고 말했다. editor@itworld.co.kr


X