파이어아이, 어도비 취약점 활용 APT3 피싱공격 포착

실시간
뉴스

침해사고/위협동향

파이어아이, 어도비 취약점 활용 APT3 피싱공격 포착

디지털데일리 발행일 2015-07-10 09:33:57

이유지

URL복사

- 어도비 플래시 플레이어 제로데이 취약점 악용, 사용자 업데이트 권고

[디지털데일리 이유지기자] 파이어아이(지사장 전수홍)는 싱가포르에 있는 자사의 ‘파이어아이 애즈어서비스(FireEye as a Service)’팀이 어도비 플래시 플레이어의 제로데이 취약점 ‘CVE-2015-3113‘를 이용한 피싱 공격을 포착했다고 10일 밝혔다.

회사측에 따르면, 이번 익스플로잇은 파이어아이가 추적하고 있는 중국 기반 해킹 그룹인 APT3(혹은 UPS)의 소행이며, 해당 취약점을 악용해 ‘은밀한 여우(Operation Clandestine Fox)’라는 공격을 벌인 것으로 파악했다.

공격자의 이메일에는 제로데이 취약점인 ‘CVE-2015-3113’을 악용하는 정상 파일로 위장한(benign) 콘텐츠 또는 플래시 플레이어 파일의 유포를 노리고 사전에 해킹된 웹서버로 연결되는 링크가 포함돼 있었다.

파이어아이 MVX(FireEye MVX)는 이번 공격을 웹 감염으로 탐지하고, 침입탐지시스템(IPS) 엔진에서 취약점 ‘CVE-2015-3113’을 이용한 공격으로 확인했으며, ‘SHOUTPUT 백도어’는 ‘Backdoor.APT.CookieCutter’로 보고됐다.

현재 어도비는 대외적인 보안 권고문을 통해 ‘CVE-2015-3113’에 대한 패치를 발표한 상태이다. 파이어아이측은 어도비 플래시 플레이어 사용자들에게 가능한 한 빨리 최신 버전으로 업데이트할 것을 권장했다.

파이어아이의 김현준 기술이사는 “APT3는 일단 공격 대상 네트워크에 접근하면 신속하게 작업을 진행하며, 지속성을 유지하기 위해 다른 호스트들로 내부이동하면서 영향력을 넓히는데 매우 능숙하다”며 “이 해킹 그룹은 제로데이 익스플로잇을 악용하고 지속적으로 커스텀 백도어를 업데이트하며, 한 번 사용한 CnC 서버는 바로 버리기 때문에 추적이 어려운 것이 특징이다”라고 설명했다.

<이유지 기자>yjlee@ddaily.co.kr