2021-07-24 10:20 (토)
윈도우-iOS-안드로이드 사용자 타깃 공격에 11개 제로데이 취약점 사용한 해킹 그룹
상태바
윈도우-iOS-안드로이드 사용자 타깃 공격에 11개 제로데이 취약점 사용한 해킹 그룹
  • hsk 기자
  • 승인 2021.03.24 15:53
이 기사를 공유합니다

구글 프로젝트 제로팀이 윈도우, iOS 및 안드로이드 사용자를 타깃으로 한 공격에 1년 내 11개 제로데이를 사용한 해커 그룹을 발견했다. 해당 공격 배후에 있는 해킹 그룹은 2020년 2월과 10월, 두 개의 별도 캠페인을 실행했다고 브리핑컴퓨터 측이 보도했다.

보도에 따르면, 이번 달 보고서는 지난 1월 발표된 이전 제로데이가 잠재적 표적을 해킹하기 위해 n-day 익스플로잇과 함께 4개 제로데이가 어떻게 사용되었는지 설명하고, 이후 7개 제로데이 사용을 보여준다.

이전과 마찬가지로 공격자는 두 개 익스플로잇 서버를 호스팅하는 수십개 웹사이트를 사용했고, 각각은 윈도우 및 iOS 또는 안드로이드 사용자를 표적으로 삼았다.

프로젝트 제로 팀원은 “테스트에서 두 익스플로잇 서버는 발견된 모든 도메인에 존재했다. 초기 핑거프린팅(IP주소와 사용자 에이전트의 출처를 기반으로 한 것으로 보임) 이후 두 익스플로잇 서버 중 하나를 가리키는 웹 사이트에 아이프레임이 삽입되었다.”고 말했다.

구글은 2020년 10월 공격 캠페인 분석 과정에서 다음을 발견했다.

-구글 크롬을 사용해 완전 패치된 윈도우 10을 대상으로 하는 하나의 완전한 익스플로잇

-구글 크롬 및 삼성 브라우저를 사용해 안드로이드 10을 실행하는 완전히 패치된 2개 안드로이드 기기를 타깃으로 하는 두개의 부분 체인

- iOS 11~13에 대한 여러RCE 악용 및 iOS 13에 대한 권한 상승 익스플로잇 (익스플로잇된 버그는 iOS 14.1 버전까지 존재함)

2020년 초반 작전과 종합해볼 때, 공격 그룹은 1년 내에 최소 11개 제로데이를 사용한 것으로 분석됐다.

작년 공격에서 익스플로잇 체인을 구축하는데 사용된 11개 제로데이는 다음과 같다.

•CVE-2020-6418 - Chrome Vulnerability in TurboFan (February 2020)

•CVE-2020-0938 - Font Vulnerability on Windows (February 2020)

•CVE-2020-1020 - Font Vulnerability on Windows (February 2020)

•CVE-2020-1027 - Windows CSRSS Vulnerability (February 2020)

•CVE-2020-15999 - Chrome Freetype heap buffer overflow (October 2020)

•CVE-2020-17087 - Windows heap buffer overflow in cng.sys (October 2020)

•CVE-2020-16009 - Chrome type confusion in TurboFan map deprecation (October 2020)

•CVE-2020-16010 - Chrome for Android heap buffer overflow (October 2020)

•CVE-2020-27930 - Safari arbitrary stack read/write via Type 1 fonts (October 2020)

•CVE-2020-27950 - iOS XNU kernel memory disclosure in mach message trailers (October 2020)

•CVE-2020-27932 - iOS kernel type confusion with turnstiles (October 2020)

발견된 각 익스플로잇은 익스플로잇되는 취약점과 익스플로잇 개발에 대한 전문가 수준의 이해도를 보여준다.

특히 크롬 제로데이(CVE-2020-15999)의 경우, 이 해킹 그룹이 사용한 악용 방법은 구글 프로젝트 제로팀에게도 새로운 것이었다.

프로젝트 제로팀 연구원은 “익스플로잇을 제외하고라도, 페이로드의 모듈성, 상호 교환 가능한 익스플로잇 체인, 로깅, 타겟팅 및 공격자의 작업 성숙도는 이들 그룹의 차별화 된 특징이라고 할 수 있다. iOS 커널 권한 취약점을 트리거하는 방법을 알아내는 과정은 복잡했다. 난독화 방법 또한 다양했으며 알아내는데 많은 시간이 소요되었다”고 말했다.


▶데일리시큐 보안 웨비나 참가하기◀

-EDR 솔루션/엔드포인트 보안 웨비나 무료등록: 클릭
-2021년 3월 29일(월) 오후 2시~3시 개최

★정보보안 대표 미디어 데일리시큐!★