IE 제로데이 취약점(CVE-2018-8174), PoC 코드 공개된 후 RIG 익스플로잇 키트가 악용하기 시작 해

IE Zero-Day Adopted by RIG Exploit Kit After Publication of PoC Code

지난 달 발견 된 인터넷 익스플로러의 제로데이 취약점이 RIG 익스플로잇 키트에 추가된 것으로 나타났습니다. 

RIG 익스플로잇 키트는 악성코드 제작자들이 사이트의 방문자들을 악성코드에 감염시키기 위해 사용하는 웹 기반 툴킷입니다.

문제의 취약점은 CVE-2018-8174입니다. 이 취약점은 인터넷 익스플로러와 마이크로소프트 오피스에 포함 된 비쥬얼 베이직 스크립팅 엔진인 VBScript에 영향을 미칩니다.

지난 4월 20일, 한 보안 업체는 사이버 스파잉 그룹이 이 취약점을 악용해 인터넷 익스플로러를 통해 사용자들을 감염시키고 있다는 사실을 발견했습니다. 추후 이 공격은 북한의 지원을 받는 해킹 그룹에 의한 것으로 나타났습니다.

이 공격을 발견한 연구원들은 마이크로소프트에 이를 제보하였고, 마이크로소프트는 2018년 5월 ‘패치 화요일’ 보안 업데이트를 통해 이를 수정하였습니다.

연구원들은 이 제로데이 취약점의 새로운 악용 체인을 발견해 “double kill”이라 명명했습니다.

이는 GitHub에 공개 된 PoC 코드를 기반으로 하고 있었습니다. 또한 PoC가 공개 되고 얼마 지나지 않아, Metasploit 모듈도 공개 되었습니다.

RIG 익스플로잇 키트는 약 1주일이 넘는 기간 동안 이 취약점을 무기화 한 새로운 익스플로잇을 사용하고 있었습니다.

코인 마이너를 설치하는 CVE-2018-8174

공격자들은 정식 사이트의 트래픽을 하이재킹하고 IE 사용자들을 RIG 익스플로잇 키트를 호스팅하는 웹페이지로 이동시킵니다. 이후 RIG 익스플로잇 키트는 CVE-2018-8174 를 악용해 피해자를 Smoke Loader 악성코드에 감염시키려고 시도합니다.

Smoke Loader는 “악성코드 드롭퍼”로 알려져 있으며, 추가 지시에 따라 사용자의 컴퓨터에 은밀히 가상화폐를 채굴하는 또 다른 악성코드를 다운로드 및 설치할 수 있습니다.

CVE-2018-8174, RIG 익스플로잇 키트에 새 생명 불어넣어

초기에는, 북한의 해커들이 이 취약점을 악용해 적은 수의 타겟만을 노렸지만, 지금은 다른 모든 제로데이 취약점들과 같이 선택 된 자들만이 아닌 모든 사용자들을 노리고 있습니다.

RIG 익스플로잇 키트는 CVE-2018-8174 가 업데이트 되기 전에는 1년이 넘게 새로운 업데이트가 없었습니다.

또한, 연구원들은 RIG 이외에도 잘 알려진 해킹그룹인 Cobalt도 은행 및 금융 부문을 공격하기 위해 CVE-2018-8174를 악용하고 있는 것으로 추측했습니다.

출처 :

https://www.bleepingcomputer.com/news/security/ie-zero-day-adopted-by-rig-exploit-kit-after-publication-of-poc-code/