2017.09.18

파이어아이, MS 오피스 제로데이 취약점 발견

편집부 | CIO KR
파이어아이가 핀스파이(FINSPY) 확산에 이용된 마이크로소프트 오피스 제로데이 취약점을 발견했다고 밝혔다.

파이어아이는 핀스파이 공격에 사용되는 MS 오피스 RTF(Rich Text Format) 문서를 발견했으며, ‘Проект.doc’라는 이름으로 배포된 악성 문서가 러시아어 사용자를 공격 대상으로 삼았을 가능성이 높다고 설명했다.

핀피셔(FinFisher) 또는 윙버드(Wingbird)로도 알려진 핀스파이 멀웨어는 합법적 해킹의 용도로 구매할 수 있다. 파이어아이는 악성 문서가 사이버 스파이 활동 목적으로 러시아어를 사용하는 조직을 대상으로 악용됐을 것으로 추정하고 있다. 또한, 파이어아이의 동적 위협 인텔리전스(Dynamic Threat Intelligence; DTI) 시스템은 다른 대상자들을 공격한 일련의 행위가 이미 2017년 7월에 발생했을 가능성이 있다는 것을 추가로 발견했다.

CVE-2017-8759는 파이어아이가 2017년에 발견한 두 번째 제로데이 취약점으로 핀스파이 배포를 위해 사용됐다. 이러한 취약점 발견은 합법적 해킹 영역의 여러 기업 및 고객들의 중요한 리소스로 활용된다. 핀스파이는 다수의 고객들에게 판매됐으며, 이는 여러 공격에 취약점이 악용됐다는 것을 의미한다고 업체 측은 설명했다.

파이어아이는 CVE-2017-8759가 다른 공격자들에 의해 추가로 사용됐을 가능성 또한 발견했다고 밝혔다. 아직 정확한 증거는 확보하지 못했지만, 2017년 4월 발생한 핀스파이 배포에 사용된 제로데이 취약점 CVE-2017-0199가 금전적 동기를 가진 공격자들로부터 동시에 사용된 것으로 확인됐다. 핀스파이 공격자들이 기존과 동일한 출처로부터 취약점을 확보했다면, 해당 출처는 다른 공격자들에게도 취약점을 판매했을 가능성이 높다고 업체 측은 설명했다.

파이어아이 코리아 전수홍 지사장은 “일반적으로 제로데이 공격은 다양한 산업군을 타깃으로 하고 있으며, 제품 공급업체에서 패치를 제공하기 전까지는 탐지 및 차단이 거의 불가능하다”며 “새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공되기 전에 국내에도 진행될 가능성이 매우 높아서 기업들의 각별한 주의가 필요하다”고 말했다. ciokr@idg.co.kr



2017.09.18

파이어아이, MS 오피스 제로데이 취약점 발견

편집부 | CIO KR
파이어아이가 핀스파이(FINSPY) 확산에 이용된 마이크로소프트 오피스 제로데이 취약점을 발견했다고 밝혔다.

파이어아이는 핀스파이 공격에 사용되는 MS 오피스 RTF(Rich Text Format) 문서를 발견했으며, ‘Проект.doc’라는 이름으로 배포된 악성 문서가 러시아어 사용자를 공격 대상으로 삼았을 가능성이 높다고 설명했다.

핀피셔(FinFisher) 또는 윙버드(Wingbird)로도 알려진 핀스파이 멀웨어는 합법적 해킹의 용도로 구매할 수 있다. 파이어아이는 악성 문서가 사이버 스파이 활동 목적으로 러시아어를 사용하는 조직을 대상으로 악용됐을 것으로 추정하고 있다. 또한, 파이어아이의 동적 위협 인텔리전스(Dynamic Threat Intelligence; DTI) 시스템은 다른 대상자들을 공격한 일련의 행위가 이미 2017년 7월에 발생했을 가능성이 있다는 것을 추가로 발견했다.

CVE-2017-8759는 파이어아이가 2017년에 발견한 두 번째 제로데이 취약점으로 핀스파이 배포를 위해 사용됐다. 이러한 취약점 발견은 합법적 해킹 영역의 여러 기업 및 고객들의 중요한 리소스로 활용된다. 핀스파이는 다수의 고객들에게 판매됐으며, 이는 여러 공격에 취약점이 악용됐다는 것을 의미한다고 업체 측은 설명했다.

파이어아이는 CVE-2017-8759가 다른 공격자들에 의해 추가로 사용됐을 가능성 또한 발견했다고 밝혔다. 아직 정확한 증거는 확보하지 못했지만, 2017년 4월 발생한 핀스파이 배포에 사용된 제로데이 취약점 CVE-2017-0199가 금전적 동기를 가진 공격자들로부터 동시에 사용된 것으로 확인됐다. 핀스파이 공격자들이 기존과 동일한 출처로부터 취약점을 확보했다면, 해당 출처는 다른 공격자들에게도 취약점을 판매했을 가능성이 높다고 업체 측은 설명했다.

파이어아이 코리아 전수홍 지사장은 “일반적으로 제로데이 공격은 다양한 산업군을 타깃으로 하고 있으며, 제품 공급업체에서 패치를 제공하기 전까지는 탐지 및 차단이 거의 불가능하다”며 “새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공되기 전에 국내에도 진행될 가능성이 매우 높아서 기업들의 각별한 주의가 필요하다”고 말했다. ciokr@idg.co.kr

X