마이크로소프트 VBScript에 제로데이 취약성, 북한 해커 집단이 악용?!
Microsoft 「VBScript」는, Visual Basic풍 스크립트 언어이며, Active Scripting 스크립트 엔진이라고 하는 형태로 설치되고 있습니다. 이 VBScript 엔진에는 제로데이공격 취약성이 존재하고, 북한 해커에게서 DarkHotel을 사용한 해킹을 받을 가능성이 시사되었습니다.
VBScript는 최신 버전 Windows 및 Internet Explorer 11로 사용할 수 있는 스크립트 엔진입니다. 단, 최신 버전 Windows에서는 브라우저 기정 설정으로 VBScript 실행이 무효가 되고 있기 때문에, 설정을 변경하지 않는 한 취약성 영향을 받을 것은 없습니다. VBScript가 실행되는 경우는 다양합니다만, 예를 들면 오피스 스위트 애플리케이션의 경우, 웹상 컨텐츠를 렌더링하기 위해서 Internet Explorer 엔진을 사용하고 있기 때문에, VBScript가 실행되는 경우가 있습니다.
보안 기업 트렌드 마이크로는, 2018년7월에 Microsoft가 Windows Update를 갱신한 다음날에, VBScript의 취약성이 악용된 것을 발견했습니다. 이 취약성은 어택커가 침입처 컴퓨터상에서 셸코드를 실행할 수 있도록 하는 Use After Free 메모리 파손 취약성으로, 「CVE-2018-8373」이라고 명명되었습니다. 또, 취약성은 2018년8월에 Windows Update에서 수정되었습니다.
CVE-2018-8373에 대해서 트렌드 마이크로의 보안 연구자들이 분석한 결과, 이 취약성은 2018년5월에 같은 VBScript 취약성으로서 찾은 「」와 같은 난독화 코드가 설비된 것이 밝혀졌습니다.
그렇기 때문에, 트렌드 마이크로 보안 연구자인 Elliot Cao씨는, 2개의 취약성은 같은 기원을 가지는 가능성이 있다고 지적했습니다. 중국 보안 기업인 Qhooo 360 연구자들도 이 생각을 지지하고, 취약성을 이용해서 코드를 다운로드하기 위해서 이용할 수 있는 Office 문서에 삽입된 코드에, 같은 도메인 명을 찾을 수 있다고 지적했습니다.
2018년5월에 발견된 취약성 CVE-2018-8174는, DarkHotel을 사용한 APT공격을 하는 조직 「APT-C-06」라는 관련이 밝혀졌습니다. 「해석중에 말웨어가 사용한 암호해독 알고리즘은, APT-C-06 암호해독 알고리즘과 동일한 것이다」라고 Qihoo 360 전문가는 지적해서, CVE-2018-8373도 같은 조직이 악용항 가능성이 있습니다.
이 취약성을 악용한 DarkHotel이 아시아 고급 호텔 등에 체류하는 정부기관 관계자를 타깃에 운용되고 있는 것이 밝혀졌습니다. 더해서, 보안 기업 마카피와 Intezer가 공동으로 다양한 말웨어를 분석 조사한 결과, 이 DarkHotel은 북한이 과거에 사용한 유니크 코드를 소유하고 있는 것도 밝혀져서, 북한이 해킹용에 작성한 말웨어 군의 일부인 가능성이 시사되었습니다.
