2015.07.10

파이어아이, 플래시 플레이어 취약점 활용한 APT3 피싱 공격 발견

편집부 | CIO KR
파이어아이가 싱가포르에 있는 ‘파이어아이 애즈 어 서비스(FireEye as a Service)’ 팀이 어도비 플래시 플레이어(Adob​​e Flash Player)의 제로데이 취약점 ‘CVE-2015-3113‘를 이용한 피싱 공격을 포착했다고 밝혔다.

이번 익스플로잇은 파이어아이가 추적하고 있는 중국 기반의 해킹 그룹인 APT3(혹은 UPS)의 소행이며, 해당 취약점을 악용해 ‘은밀한 여우(Operation Clandestine Fox)’라는 공격을 벌인 것으로 밝혀졌다.

공격자의 이메일에는 제로데이 취약점인 ‘CVE-2015-3113’을 악용하는 정상 파일로 위장한 콘텐츠 또는 플래시 플레이어 파일의 유포를 노리고 사전에 해킹된 웹서버로 연결되는 링크가 포함돼 있었다.

파이어아이 MVX(FireEye MVX)는 이번 공격을 웹 감염으로 탐지하고, IPS 엔진에서 취약점 ‘CVE-2015-3113’을 이용한 공격으로 확인했으며, ‘SHOUTPUT 백도어’는 [Backdoor.APT.CookieCutter]로 보고됐다.

현재 어도비는 대외적인 보안 권고문을 통해 ‘CVE-2015-3113’에 대한 패치를 발표한 상태며, 파이어아이는 어도비 플래시 플레이어 사용자들에게 가능한 한 빨리 최신 버전으로 업데이트 할 것을 권장했다.

파이어아이의 김현준 기술이사는 “APT3는 일단 공격 대상 네트워크에 접근하면 신속하게 작업을 진행하며, 지속성을 유지하기 위해 다른 호스트들로 내부이동하면서 영향력을 넓히는데 매우 능숙하다”며 “이 해킹 그룹은 제로 데이 익스플로잇을 악용하고, 지속적으로 커스텀 백도어를 업데이트하며, 한 번 사용한 CnC 서버는 바로 버리기 때문에 추적이 어려운 것이 특징”이라고 설명했다.

한편, APT3는 파이어아이 인텔리전스가 쫓고 있는 가장 정교한 해킹 그룹 중 하나로 인터넷 익스플로러, 파이어폭스 및 어도비 플래시 플레이어 등 브라우저 기반의 새로운 제로 데이 익스플로잇을 유포해왔다. ciokr@idg.co.kr



2015.07.10

파이어아이, 플래시 플레이어 취약점 활용한 APT3 피싱 공격 발견

편집부 | CIO KR
파이어아이가 싱가포르에 있는 ‘파이어아이 애즈 어 서비스(FireEye as a Service)’ 팀이 어도비 플래시 플레이어(Adob​​e Flash Player)의 제로데이 취약점 ‘CVE-2015-3113‘를 이용한 피싱 공격을 포착했다고 밝혔다.

이번 익스플로잇은 파이어아이가 추적하고 있는 중국 기반의 해킹 그룹인 APT3(혹은 UPS)의 소행이며, 해당 취약점을 악용해 ‘은밀한 여우(Operation Clandestine Fox)’라는 공격을 벌인 것으로 밝혀졌다.

공격자의 이메일에는 제로데이 취약점인 ‘CVE-2015-3113’을 악용하는 정상 파일로 위장한 콘텐츠 또는 플래시 플레이어 파일의 유포를 노리고 사전에 해킹된 웹서버로 연결되는 링크가 포함돼 있었다.

파이어아이 MVX(FireEye MVX)는 이번 공격을 웹 감염으로 탐지하고, IPS 엔진에서 취약점 ‘CVE-2015-3113’을 이용한 공격으로 확인했으며, ‘SHOUTPUT 백도어’는 [Backdoor.APT.CookieCutter]로 보고됐다.

현재 어도비는 대외적인 보안 권고문을 통해 ‘CVE-2015-3113’에 대한 패치를 발표한 상태며, 파이어아이는 어도비 플래시 플레이어 사용자들에게 가능한 한 빨리 최신 버전으로 업데이트 할 것을 권장했다.

파이어아이의 김현준 기술이사는 “APT3는 일단 공격 대상 네트워크에 접근하면 신속하게 작업을 진행하며, 지속성을 유지하기 위해 다른 호스트들로 내부이동하면서 영향력을 넓히는데 매우 능숙하다”며 “이 해킹 그룹은 제로 데이 익스플로잇을 악용하고, 지속적으로 커스텀 백도어를 업데이트하며, 한 번 사용한 CnC 서버는 바로 버리기 때문에 추적이 어려운 것이 특징”이라고 설명했다.

한편, APT3는 파이어아이 인텔리전스가 쫓고 있는 가장 정교한 해킹 그룹 중 하나로 인터넷 익스플로러, 파이어폭스 및 어도비 플래시 플레이어 등 브라우저 기반의 새로운 제로 데이 익스플로잇을 유포해왔다. ciokr@idg.co.kr

X