Adobe 더킹+카지노 Player 제로데이 공격(CVE-2018-15982) 악용, 최신 업데이트 필요
중국 보안업체360은 11월 29일, 2건의 새로운 Flash 0day 취약점 악성파일을 발견하였습니다. 이번 APT 공격은 러시아 또는 우크라이나를 타겟으로 진행된 것으로 추정되고 있습니다.
악성 DOCX 문서더킹+카지노이 바이러스토탈에 업로드된 곳은 우크라이나 지역이었습니다.
[그림 1] 우크라이나에서 보고된 악성 문서더킹+카지노 실행화면
공격자는 Flash 0-day 취약점이 포함된 Word 파일을 사용자에게 발송하며, 사용자가 해당 파일을 클릭할 경우, 백도어가 실행되며 공격자가 사용자 PC에 원격코드실행이 가능합니다.
악성 워드문서 내부에는 'activeX1.bin' 플래시 더킹+카지노이 포함되어 있으며, 액션스크립트 바이트 코드 내부에 바이너리 데이터가 포함되어 있습니다.
[그림 1-1] 'activeX1.bin' 내부에 포함되어 있는 바이너리 영역
'scan042.jpg' 더킹+카지노은 이미지 헤더를 가지고 있지만, 실제로는 RAR SFX 데이터를 가지고 있으며, 내부에는 'backup.exe' 악성더킹+카지노이 포함되어 있습니다.
[그림 2] JPG 헤더와 RAR SFX 포맷으로 내부에 추가 악성더킹+카지노이 압축된 모습
압축 내부에 포함되어 있는 'backup.exe' 더킹+카지노은 NVIDIA 제어판 응용프로그램처럼 아이콘과 속성이 위장되어 있으며, 'IKB SERVICE UK LTD' 이름의 조작된 디지털 서명도 포함되어 있습니다.
[그림 3] 엔비디아 제어판 더킹+카지노로 위장된 더킹+카지노 속성화면
분석 결과, 이번에 사용된 악성코드는 2015년에 공개되었던 Hacking Team의 원격 해킹툴의 업데이트 버전인 것으로 확인되었습니다. 이에 이번 공격은 Hacking Team과 매우 높은 관련성이 있는 것으로 추정되며, 동일한 디지털 서명을 가진 Hacking Team 악성코드는 2018년 8월 발견된 적이 있습니다.
이번에 공개된 취약점 및 관련 공격코드를 또 다른 해커 조직들이 악용할 수 있는 만큼 사용자들의 빠른 조치를 권고 드립니다.
취약점 번호
더킹+카지노2018-15982
영향받는버전
Adobe 더킹+카지노 Player 31.0.0.153 및 이전버전
패치방법
Adobe 더킹+카지노 Player 32.0.0.101으로 업데이트
https://helpx.adobe.com/security/products/더킹+카지노-player/apsb18-42.html
참고 :
https://atr-blog.gigamon.com/2018/12/05/adobe-더킹+카지노-zero-day-exploited-in-the-wild