중국, 일본을 노리는 공격에 IE와 파이어폭스 취약점 악용돼

Hackers exploited IE and Firefox flaws in attacks on entities in China, Japan

한 APT 그룹이 올해 초 중국과 일본을 노린 공격에서 취약점 2개를 악용했습니다.

CVE-2019-17026으로 등록된 첫 번째 이슈는 파이어폭스 브라우저에 영향을 미치며 지난 1월 수정되었습니다.

CVE-2019-17026 취약점은 “StoreElementHole 및 FallibleStoreElement와의 IonMonkey 타입 혼동(confusion)”입니다. IonMonkey는 파이어폭스의 SpiderMonkey 자바스크립트 엔진의 JIT(Just-in-Time)컴파일러입니다.

지난 1월, 모질라는 CVE-2019-17026 제로데이를 악용하는 타깃 공격이 실행 중이라 밝혔지만 자세한 정보는 공개하지 않았습니다.

이 취약점은 Qihoo 360의 보안 전문가들이 발견해 모질라에 제보되었습니다.

Qihoo 360의 전문가들은 트위터를 통해 CVE-2019-17026 제로데이 취약점이 IE에 존재하는 제로데이 취약점과 함께 악용되고 있다고 보고했지만, 이내 해당 메시지를 삭제했습니다.

두 번째 결점은 CVE-2020-0674로 IE에 존재하는 RCE 취약점으로 마이크로소프트는 이를 지난 2월 수정했습니다.

Qihoo 360은 마이크로소프트가 이 취약점을 수정하기 전까지 공격자가 두 취약점을 함께 사용했었다고 밝혔습니다.

전문가들은 이 두 취약점이 중국의 정부 기관을 노린 캠페인에서 악용되었으며 DarkHotel APT(APT-C-06로도 알려짐)의 소행일 것으로 추측했습니다.

또한 Qihoo 전문가들은 이 그룹을 “Peninsula APT”라 지칭하기도 했는데, 이는 해당 APT 그룹이 한국에서 운영된다고 추측했기 때문인 것으로 보입니다.

일본의 JPCERT/CC는 일본 기관을 노리며 두 취약점 모두를 악용하는 공격에 대한 보고서를 공개했습니다.

“IE나 파이어폭스를 통해 공격 사이트로 이동되면, 해당 브라우저에 맞는 공격 코드가 반환됩니다.”

“이후 공격이 성공하면, 공격 코드는 프록시 자동 구성 파일(PAC 파일)로 다시 한번 다운로드됩니다. 다운로드된 공격 코드는 PAC 파일로써 실행되며, 악성코드가 다운로드 및 실행됩니다.”

<이미지 출처: https://blogs.jpcert.or.jp/ja/2020/04/ie_firefox_0day.html>

이 결함을 악용하면 프록시 자동 구성(PAC) 파일을 시스템에 전달할 수 있습니다. PAC 파일은 특정 웹사이트에 대한 요청을 공격자가 제어하는 외부 서버를 통하여 전송하는데 사용됩니다.

공격에 사용된 최종 페이로드는 Gh0st RAT의 변종으로 중국과 관련된 APT 그룹에서 실행된 공격에 여러 차례 사용되었습니다. 전문가들은 해당 RAT의 소스코드가 수 년 전 유출되어 많은 공격자들이 이를 사용하기 시작했다고 지적했습니다.

“확인 결과 IE에 실행되는 공격은 윈도우 7 x64(2019년 12월 공개된 패치 적용), 윈도우 8.1 x64(2020년 1월 공개된 패치 적용) 및 이전 버전에서만 동작하는 것으로 나타났습니다. 윈도우 10(2020년 1월 공개된 패치 적용)환경에서는 아무런 악성코드 감염이 일어나지 않았습니다.”

“이 공격 코드는 윈도우 10에서 호환되지 않았을 가능성이 있습니다.”

출처 :

https://securityaffairs.co/wordpress/100960/hacking/ie-firefox-flaws.html

https://blogs.jpcert.or.jp/ja/2020/04/ie_firefox_0day.html