Windows 운영 체제에서 새로 발견된 심각한 취약점에 대한 익스플로잇이 미국과 유럽의 일부 표적 공격에서 발생한 것으로 알려졌습니다. 공격자는 이 Microsoft Windows OLE(Object Linking and Embedding) 패키지 관리자 원격 코드 실행 취약점(CVE-2014-4114)을 통해 외부 위치에서 OLE 파일을 임베드시킬 수 있습니다. 이 취약점에 대한 익스플로잇으로 인해 악성 코드가 표적 시스템에 다운로드되고 설치될 수 있습니다. 샌드웜(Sandworm)이라는 이름으로 알려진 사이버 스파이 집단이 공격 대상 조직에 Backdoor.Lancafdo.A(일명 Black Energy 백도어)를 유포하는 데 이 취약점을 이용한 것으로 보입니다.
이 취약점은 Windows Vista 서비스 팩 2부터 Windows 8.1, Windows Server 버전 2008 및 2012까지의 모든 버전에 영향을 미칩니다. 이것은 Windows에서 OLE를 처리하는 방식과 연관되어 있습니다. OLE는 어떤 문서의 리치 데이터나 링크를 다른 문서에 임베드할 수 있게 해주는 Microsoft 기술입니다. 일반적으로 OLE는 로컬에 저장된 컨텐트를 임베드하는 데 사용되지만, 이 취약점은 그 어떤 메시지도 없이 외부 파일을 다운로드하고 실행할 수 있도록 합니다.
활발하게 진행 중인 익스플로잇
이 취약점을 발견한 iSIGHT Partners는 NATO, 이름이 공개되지 않은 몇몇 우크라이나 정부 기관, 상당수의 서유럽 정부 기관, 에너지 분야의 기업, 유럽의 통신사, 미국의 교육 기관이 이미 이 취약점을 노린 사이버 스파이 공격을 받았다고 밝혔습니다. 시만텍이 원격 측정한 바에 따르면, 이 페이로드를 이용한 공격이 8월부터 진행되고 있습니다. iSIGHT는 이러한 공격의 주범으로 샌드웜이라는 이름의 지능적 지속 위협(APT) 집단을 지목했습니다.
지금까지의 공격 양상을 살펴보면, 표적이 된 개인에게 스피어 피싱 이메일이 발송됩니다. 여기에 악성 PowerPoint 파일, 시만텍이 탐지한 바로는 Trojan.Mdropper가 첨부되어 있습니다. 이 PowerPoint 파일에는 URL을 포함하는 임베드된 OLE 문서 2개가 들어 있습니다. 표적이 된 사용자가 이 PowerPoint 파일을 열면 해당 URL과 연결되고 두 파일이 다운로드됩니다. 각각 확장자가 .exe와 .inf인 이 두 파일을 통해 시스템에 악성 코드가 설치됩니다. 시만텍은 이 악성 코드 페이로드를 Backdoor.Lancafdo.A로 탐지합니다.
표적 시스템에 이 백도어가 설치되면 공격자가 다른 악성 코드를 다운로드하여 설치할 수 있습니다. 또한 정보 도용 구성 요소가 포함된 악성 코드 업데이트가 자동으로 다운로드될 수도 있습니다.
현재로서는 익스플로잇에서 PowerPoint 파일을 사용하지만, 이 취약점의 특성으로 볼 때 Word 문서, Excel 스프레드시트와 같은 다른 Office 파일 형식에서도 이 취약점이 나타날 가능성이 있습니다.
공격자가 이 취약점을 통해 원격으로 표적 시스템에 코드를 실행할 수 있으므로 시만텍은 이것을 심각한 취약점으로 간주합니다. 지금까지는 제한적인 범위에서 실제 익스플로잇이 발생했지만, 취약점의 존재가 공개된 만큼 다른 공격 집단에서도 이를 악용할 가능성이 있습니다.
기업 및 개인 사용자를 위한 조언
이 취약점의 영향을 받는 모든 Windows 사용자는 아래와 같은 조치를 취하는 것이 좋습니다.
- Microsoft에서 보안 패치를 제공하는 즉시 적용하십시오.
- 보안 소프트웨어를 최신 버전으로 유지하십시오.
- 이메일 첨부 파일을 열 때, 특히 그 출처를 알 수 없는 경우 각별히 주의하십시오.
시만텍의 보호 방안
시만텍 고객은 아래와 같은 탐지 기술을 통해 이 취약점에 대한 익스플로잇 공격에 사용되는 악성 코드로부터 보호받습니다.
안티바이러스
침입 차단
업데이트 (2014월 10월 15일):
Microsoft 보안 게시판에 이 취약점에 대한 패치가 게시되었습니다. 시만텍은 모든 사용자가 Microsoft Security Bulletin MS14-060에 있는 패치를 다운로드하여 설치하시기를 권장합니다.