파이어아이가 공식 블로그를 통해 ‘취약점 관리를 위한 인텔리전스 리포트’를 발표했다.
파이어아이 맨디언트 위협 인텔리전스 팀에 따르면 제로데이 공격은 2019년 크게 증가했다. 지난 한 해 발견된 제로데이 공격 수가 지난 3년 간 일어난 공격을 모두 더한 수를 넘어섰을 정도다. 또한 제로데이 취약점을 이용하는 공격 그룹의 유형도 이전보다 확대됐다.
구매한 사이버 공격 도구와 서비스를 이용하여 제로데이 취약점을 노리고 공격한 사례는 2017년 말부터 크게 증가했다. 지역적 측면에서는 중동지역을 표적으로 한 제로데이 공격 사례가 증가했으며, 해당 지역과 연관성이 있는 공격그룹에 의한 것으로 관찰됐다.
<중동 지역의 주요 제로데이 공격 사례>
◇ 스텔스팔콘(Stealth Falcon)과 프루티아머(FruityArmor)
▴스텔스팔콘과 프루티아머는 주로 중동 지역의 기자 및 사회 운동가를 타깃으로 접근
▴이스라엘 보안기술 업체 NSO그룹이 판매한 멀웨어를 2016년에 이용
▴2016년부터 2019년까지 그 어느 그룹보다도 활발하게 제로데이 공격 이행
◇ 샌드캣(SandCat)
▴샌드캣이라고 불리는 공격 그룹은 우즈베키스탄 국가 정보기관과 관련된 것으로 추정
▴샌드캣에 의한 제로데이 취약점 공격에는 스텔스팔콘의 공격에 이용된 제로데이 취약점과 같은 것으로 보아, 해당 공격그룹 또한 NSO 그룹과 같은 민간 기업의 멀웨어를 구입하여 제로데이 공격에 활용
◇ 블랙오아시스(BlackOasis)
▴2016년부터 2017년까지 블랙오아시스라고 알려진 공격 그룹은 사이버 공격 무기 딜러인 감마그룸(Gamma Group)을 통해 하나 이상의 제로데이 취약점을 활용한 공격 도구를 취득한 것으로 추정
<기타 개별 기업에서 제공하는 툴을 이용한 제로데이 공격 사례>
▴2019년에 알려진 왓츠앱(WhatsApp) 제로데이 취약점(CVE-2019-3568)은 NSO 그룹이 개발한 스파이웨어 배포에 악용됨
▴러시아 헬스케어 기관을 표적으로 한 2018년 어도비 플래시 제로데이 취약점(CVE-2018-15982) 공격은 해킹팀(Hacking Team)이라는 이탈리아 기반 스파이웨어를 배포하는 공격 그룹의 소스코드 유출과 관련된 것으로 추정
▴2019년 10월 보고된 안드로이드 제로데이 취약점(CVE-2019-2215) 공격에 NSO 그룹의 도구가 사용된 것으로 추정
<전세계 4대 공격그룹이 수행한 제로데이 공격>
▴중국 사이버첩보그룹 APT3는 2016 년 감행한 사이버 공격에서 윈도우 취약점(CVE-2019-0703)을 이용
▴북한 사이버공격그룹 APT37은 2017년 어도비 플래시 제로데이 취약점(CVE-2018-4878)을 활용한 캠페인을 수행함. 위 그룹은 취약점이 공개된 후 빠른 시간 안에 공격할 수 있는 역량을 입증
▴2017년 12월부터 2018년 1월까지 중국 기반 공격 그룹 다수가 마이크로소프트 오피스 취약점(CVE-2018-0802)을 이용해 유럽, 러시아, 동남아시아, 대만에 위치한 여러 업계를 대상으로 공격 캠페인을 실행 – 샘플의 최소 절반 이상이 취약성 패치 배포 이전에 진행됨
▴러시아 그룹 APT28 및 털라(Turla)는 2017 년 마이크로소프트 오피스 제품 내 여러 제로데이 취약점을 활용한 공격 이행
<금전탈취를 목적으로 한 공격그룹의 제로데이 공격>
▴해킹 그룹 핀6(FIN6)은 2019년 2월 금전을 목적으로 윈도우 서버 2019 UAF(Use-After-Free) 취약점(CVE-2019-0859)을 악용
한편 파이어아이는 제로데이 취약점 공격을 조사한 결과 다음과 같은 인사이트를 도출했다.
◇ 민간조직에서 다수의 제로데이 취약점을 활용한 공격 도구를 사용한 공격 비중이 높아지고 있음 확인 – 제로데이 공격이 점차 상품화 되고 있음
◇ 공격그룹에 이러한 공격도구를 제공하는 민간조직이 증가하고 있음 – 제로데이 취약점 악용한 공격 사례 늘어날 것으로 전망
◇ 제로데이 취약점에 접근하는 공격그룹 증가세는 피해갈 수 없으며, 공격그룹이 지닌 역량과 투자 규모로 미루어볼 때 방어기술 발전보다 공격이 빠른 속도로 발전할 것으로 보임
★정보보안 대표 미디어 데일리시큐!
