2015.07.13

두번 째 플래시 플레이어 제로데이 익스플로잇 발견 ... 해킹 팀 해킹 사건

Lucian Constantin | IDG News Service
대량의 데이터를 유출한 이탈리아 감시 소프트웨어 개발업체인 해킹 팀(Hacking Team)은 사이버공격자들을 위한 훌륭한 선물을 안겨줬다.

연구원들은 전세계 정부 당국들에게 컴퓨터 감시 및 침입 툴을 판매하는 해킹 팀이 유출한 데이터에서 발견된, 어도비 플래시 플레이어 내에 이전까지 알지 못했던 취약점을 악용한 새로운 익스플로잇을 조사하고 있다.

이는 파일들 사이에서 발견된 두번 째 플래시 플레이어 제로데이 익스플로잇이다. 또한 연구원들은 윈도우 내에서 취약점을 악용한 제로데이 익스플로잇을 발견했는데, 유출 파일에서 발견된 익스플로잇은 총 3개다.

제로데이 익스플로잇은 이전에는 알려지지 않은 취약점으로 패치가 아직 존재하지 않는다.

첫번 째 플래시 플레이어 익스플로잇은 해커가 이메일, 비즈니스 문서, 소스코드, 기타 내부 데이터 등 400GB가 넘는 파일을 인터넷에 올린 지 이틀이 채 지나기 전인 7월 7일에 발견됐다.

이 익스플로잇은 사이버범죄자들에 의해 꽤나 빨리 적용되어 어도비가 이에 대한 패치를 발표하기 전에 상업화된 익스플로잇 킷에 통합됐다. 익스플로잇 킷은 해킹당한 웹사이트나 악성 광고를 통해 대규모 공격에 사용되는 악의적인 툴이다.

어도비는 7월 8일 이 익스플로잇에 의해 악용된 이 취약점을 패치했다. 그러나 공격자들은 여전히 사용하고 있다. 보안 개발업체인 볼렉시티(Volexity)가 밝힌 바에 따르면, 웨크바이(Wekby)로 잘 알려진 사이버스파이 그룹은 실제로 기업들에게 익스플로잇 링크를 대신해 어도비 패치에 대해 충고하는 이메일을 보냈다.

보안 개발업체 파이어아이 연구원들에 의해 발견된 이 새로운 플래시 플레이어 익스플로잇은 아직 패치가 되지 않은 취약점이라는 점이 문제다.

지난 10일 어도비는 이 취약점을 확인했으며, 이번 주 중으로 패치할 계획이라고 말했다. 이 결함은 정보보안취약점 표준 코드(Common Vulnerabilities and Exposures) 데이터베이스 내에 CVE-2015-5122라고 명명됐다.

트렌드 마이크로 연구원들에 따르면, 이 새로운 익스플로잇은 윈도우용, 맥용, 그리고 리눅스용 플래시 플레이어의 최신 버전에 영향을 미치며, 악성코드 프로그램과 같은 악의적인 페이로드를 실행하는데 쉽게 적용될 수 있다.

이 익스플로잇들은 해킹 팀이 정부 고객들이 이 업체의 강력한 스파이웨어인 RCS(Remote Control System)를 통해 표적이 된 사용자의 컴퓨터를 감시할 수 있도록 제공했던 것으로 보인다.

이 익스플로잇들은 사용자가 한 웹사이트를 방문했을 때 드라이브 바이 다운로드(drive-by download)라고 부르는 공격 기술에 의해 악성코드가 은밀하게 설치되도록 한다.

이 두 개의 플래시 플레이어 익스플로잇이 해킹 팀의 직원들에 의해 개발된 것인지, 아니면 서드 파티로부터 인수한 것인지는 명확하지 않다. 해킹 팀에서 유출된 이메일에서는 이 회사가 브로커와 독립 연구원들에게 익스플로잇을 샀다는 사실이 드러났다. 그러나 해킹 팀은 공격 툴과 같은 걸 개발하기 위한 내부 연구 팀을 보유하고 있다. editor@itworld.co.kr


2015.07.13

두번 째 플래시 플레이어 제로데이 익스플로잇 발견 ... 해킹 팀 해킹 사건

Lucian Constantin | IDG News Service
대량의 데이터를 유출한 이탈리아 감시 소프트웨어 개발업체인 해킹 팀(Hacking Team)은 사이버공격자들을 위한 훌륭한 선물을 안겨줬다.

연구원들은 전세계 정부 당국들에게 컴퓨터 감시 및 침입 툴을 판매하는 해킹 팀이 유출한 데이터에서 발견된, 어도비 플래시 플레이어 내에 이전까지 알지 못했던 취약점을 악용한 새로운 익스플로잇을 조사하고 있다.

이는 파일들 사이에서 발견된 두번 째 플래시 플레이어 제로데이 익스플로잇이다. 또한 연구원들은 윈도우 내에서 취약점을 악용한 제로데이 익스플로잇을 발견했는데, 유출 파일에서 발견된 익스플로잇은 총 3개다.

제로데이 익스플로잇은 이전에는 알려지지 않은 취약점으로 패치가 아직 존재하지 않는다.

첫번 째 플래시 플레이어 익스플로잇은 해커가 이메일, 비즈니스 문서, 소스코드, 기타 내부 데이터 등 400GB가 넘는 파일을 인터넷에 올린 지 이틀이 채 지나기 전인 7월 7일에 발견됐다.

이 익스플로잇은 사이버범죄자들에 의해 꽤나 빨리 적용되어 어도비가 이에 대한 패치를 발표하기 전에 상업화된 익스플로잇 킷에 통합됐다. 익스플로잇 킷은 해킹당한 웹사이트나 악성 광고를 통해 대규모 공격에 사용되는 악의적인 툴이다.

어도비는 7월 8일 이 익스플로잇에 의해 악용된 이 취약점을 패치했다. 그러나 공격자들은 여전히 사용하고 있다. 보안 개발업체인 볼렉시티(Volexity)가 밝힌 바에 따르면, 웨크바이(Wekby)로 잘 알려진 사이버스파이 그룹은 실제로 기업들에게 익스플로잇 링크를 대신해 어도비 패치에 대해 충고하는 이메일을 보냈다.

보안 개발업체 파이어아이 연구원들에 의해 발견된 이 새로운 플래시 플레이어 익스플로잇은 아직 패치가 되지 않은 취약점이라는 점이 문제다.

지난 10일 어도비는 이 취약점을 확인했으며, 이번 주 중으로 패치할 계획이라고 말했다. 이 결함은 정보보안취약점 표준 코드(Common Vulnerabilities and Exposures) 데이터베이스 내에 CVE-2015-5122라고 명명됐다.

트렌드 마이크로 연구원들에 따르면, 이 새로운 익스플로잇은 윈도우용, 맥용, 그리고 리눅스용 플래시 플레이어의 최신 버전에 영향을 미치며, 악성코드 프로그램과 같은 악의적인 페이로드를 실행하는데 쉽게 적용될 수 있다.

이 익스플로잇들은 해킹 팀이 정부 고객들이 이 업체의 강력한 스파이웨어인 RCS(Remote Control System)를 통해 표적이 된 사용자의 컴퓨터를 감시할 수 있도록 제공했던 것으로 보인다.

이 익스플로잇들은 사용자가 한 웹사이트를 방문했을 때 드라이브 바이 다운로드(drive-by download)라고 부르는 공격 기술에 의해 악성코드가 은밀하게 설치되도록 한다.

이 두 개의 플래시 플레이어 익스플로잇이 해킹 팀의 직원들에 의해 개발된 것인지, 아니면 서드 파티로부터 인수한 것인지는 명확하지 않다. 해킹 팀에서 유출된 이메일에서는 이 회사가 브로커와 독립 연구원들에게 익스플로잇을 샀다는 사실이 드러났다. 그러나 해킹 팀은 공격 툴과 같은 걸 개발하기 위한 내부 연구 팀을 보유하고 있다. editor@itworld.co.kr


X