[해외보안동향] 트렌드마이크로, 해킹팀 플래시 제로데이 공격이 7월1일 이전 한국/일본 공격과 관련 있는 것으로 밝혀

트렌드마이크로, 해킹팀 플래시 제로데이 공격이 7월1일 이전 한국/일본 공격과 관련 있는 것으로 밝혀

Hacking Team Flash Zero-Day Tied To Attacks In Korea and Japan… on July 1

이번 주 몇 가지의 취약점이 발견되었습니다. 보안업체 트렌드마이크로가 블로그를 통해 밝힌 내용에서 해당 취약점들은 다수의 익스플로잇 킷에 의해 악용되고 있으며 한국과 일본에 실행된 제한적 공격에도 사용된 것으로 밝혀졌습니다. 심지어 이는 해킹팀 유출이 발생하기 전인 7월1일에 처음으로 발견되었습니다.

트렌드마이크로는 해당 익스플로잇 코드는 해킹팀 유출에 의해 발견된 코드와 매우 비슷하다고 밝혔습니다. 결과적으로는 이 공격이 해킹팀의 툴과 코드에 접근할 수 있었던 공격자에 의해 실행 된것으로 추측하고 있습니다.

6월 말, 한국의 한 사용자가 CVE-2014-0497을 포함한 다양한 플래시 취약점을 악용한 공격의 타겟이 되었습니다. 트래픽 로그를 살펴보면, 이 사용자는 첨부파일이 포함된 스피어 피싱 이메일을 받은 것으로 추정됩니다. 해당 문서에는 미국에서 호스팅되는 플래시 익스플로잇이 포함된 사이트의 URL이 포함되어 있었습니다. 이 익스플로잇은 해킹팀 유출에 의해 밝혀진 플래시 제로데이 취약점을 타겟으로 하고 있습니다. 더불어 해당 익스플로잇은 1주일에 몇 번이나 사용자 PC에 다운로드되었습니다.

트렌드마이크로는 제로데이 익스플로잇 코드가 호스팅 되는 도메인은 수 많은 한국의 사용자들이 접속하였으며, 일본에서도 한 명의 사용자가 접속하였다고 밝혔습니다. 

현재 알약에서는 해당 악성코드를 Exploit.SWF.CVE-2015-5119, Trojan.Downloader.Netison.A로 탐지하고 있습니다.

※ 해당 취약점과 관련된 자세한 사항은 여기를 통해 확인하실 수 있습니다.

참조:

http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-flash-zero-day-tied-to-attacks-in-korea-and-japan-on-july-1/