북한의 다이아몬드슬릿과 오닉스슬릿이라는 해킹 조직이 지난 9월에 발견되고 패치된 팀슬릿의 취약점을 익스플로잇 하고 있다는 소식이다. 패치 적용이 빠르냐 이들이 패치 안 된 팀슬릿 사용자를 찾아내는 게 빠르냐의 싸움이다.

[보안뉴스 문가용 기자] 다이아몬드슬릿(Diamond Sleet)과 오닉스슬릿(Onyx Sleet)이라는 이름으로 모니터링 되고 있는 북한 APT 조직들이 현재 CVE-2023-42793이라는 취약점을 활발히 익스플로잇 하고 있는 것으로 조사됐다. CVE-2023-42793은 젯브레인즈 팀시티(JetBrains TeamCity)라는 솔루션의 온프레미스 버전 서버에서 발견된 원격 코드 실행 취약점이다.

​

[이미지 = gettyimagesbank]

북한의 해커들은 이 취약점을 활용해 여러 가지 백도어와 멀웨어를 피해자의 시스템에 심는다고 한다. 그런 후 피해자를 모니터링 하거나, 데이터를 훔치거나, 금전적인 피해를 입힌다. 때로는 네트워크를 마비시키는 사보타쥬 공격도 실시한다는 게 MS 측의 설명이다. 팀시티는 시티뱅크나 나이키, 페라리 등 유명 기업들에서도 사용하는 자동화 소프트웨어 개발, 실험, 구축 플랫폼이다. 전 세계 3만여 조직들이 사용하고 있으며, 따라서 피해 규모가 광범위할 수 있다고 MS는 경고했다.

인증 우회 취약점, 대단히 위험해

다이아몬드슬릿은 이전부터 주로 IT와 미디어, 국방 분야의 조직들을 공략해 왔다. 오닉스플릿도 비슷하긴 한데 보다 IT와 국방 분야에 초점을 맞추고 있다. 다이아몬드슬릿은 전 세계 곳곳의 조직들을 공격하는데, 오닉스플릿은 미국과 한국, 인도를 주요 표적으로 삼고 있다. “두 조직 다 같은 취약점을 익스플로잇 하고 있습니다만 같은 도구와 같은 공격 기술을 이용하고 있지는 않습니다. CVE-2023-42793을 익스플로잇 한다는 것만 같습니다.”

젯브레인즈 측에서 CVE-2023-42793이라는 취약점을 세상에 공개하고 패치한 건 9월 30일의 일이다. 당시에도 10점 만점에 9.8점을 부여했을 정도로 위험한 취약점이라는 경고가 나왔었다. 팀시티 온프레미스 버전의 모든 서버들에 있는 취약점이었으며, 그 서버가 인터넷과 직접 연결되어 있을 경우 특히 더 위험한 것으로 분석됐다. 인증 시스템을 우회하여 원격 코드 실행 공격을 실시하고, 결국 관리자 권한을 탈취하는 데 사용되는 취약점이라고 젯브레인즈는 경고했었다.

포레스트타이거 백도어와 다른 여러 페이로드들

다이아몬드슬릿은 이번 캠페인을 진행하면서 파워셸도 적극 활용하는 모습을 선보였다. 이들은 두 개의 악성 페이로드들을 정상적인 외부 인프라에서부터 다운로드 받는 데에 파워셸을 활용했다. 이 외부 인프라는 공격 이전에 북한 해커들이 미리 손을 써둔 채 감염시킨 것으로 추정되고 있다. 파워셸을 통해 다운로드 된 악성 페이로드 중에 포레스트타이거(ForestTiger)라는 게 있었다. 작업 예약 기능을 침해하고 크리덴셜을 찾아 공격자들에게 전달하는 기능을 가긴 것으로 분석됐다.

그 외에도 다이아몬드슬릿은 파워셸을 통해 악성 DLL 파일을 다운로드 하기도 했다. 악성 DLL은 비승인 코드를 피해자의 컴퓨터에서 들키지 않고 실행시키는 여러 가지 방법이자 도구 중 하나다. 실제 여러 해커들이 즐겨 사용하며, 이를 통해 피해자의 시스템에서 자신들이 원하는 코드를 실행시킨다.

오닉스슬릿의 전략은 조금 달랐다. CVE-2023-42793을 익스플로잇 한 뒤에는 새로운 사용자 계정을 만들어 두는 것부터 시작했다. 사용자 이름을 최대한 정상적으로, 또한 평이하게 보이도록 하기 위해 커버로스 티켓 관련 계정인 것처럼 만들어졌다. 이 새 계정은 로컬 관리자 그룹 안에 포함되도록 하고 있으며, 나중에 공격자는 이 계정을 사용해 PE 리소스를 다운로드 받아 실행시켰다. 이 PE 리소스는 메모리 내에서만 실행이 되었다. MS는 “오닉스슬릿은 이런 공격의 가장 중요한 목적은 공격 지속성을 확보해 꾸준히 피해자의 시스템에 접근하는 것”이라고 설명한다.

익스플로잇 난이도, 매우 쉬움

젯브레인즈에 CVE-2023-42793을 제일 먼저 제보한 건 보안 업체 소나(Sonar)의 취약점 전문가 스테판 쉴러(Stefan Schiller)다. 그는 “이 취약점을 찾아서 익스플로잇 한다는 건 너무나 간단한 작업”이라고 평가한다. “팀시티 인스턴스의 버전은 로그인 페이지에 나오고, 따라서 패치가 안 된 버전임을 곧바로 확인할 수 있습니다. 취약한 버전이라면 익스플로잇 하면 되는데, 사용자의 실수하 특정 행동을 유발할 필요가 전혀 없습니다.”

이번 사건은 최근 공격자들이 소프트웨어 개발과 구축 파이프라인 자체에 개입하는 걸 즐겨한다는 사실을 다시 한 번 입증한다고 보안 업체 엔도랩스(Endor Labs)의 수석 연구원 헨릭 플레이트(Henrik Plate)는 설명한다. “이번 취약점은 소프트웨어를 개발하고 구축하는 플랫폼에서 발견됐고 또 익스플로잇 되고 있었습니다. 해당 플랫폼을 통해 만들어지고 배포된 소프트웨어에도 취약점과 익스플로잇이 계승될 때가 많으며, 따라서 공격자들로서는 플랫폼 하나를 공격함으로써 풍성한 열매를 얻을 수 있게 되는 겁니다. 이번 취약점이 알려지지 않았다면 은밀한 감염이 계속해서 이어졌을 겁니다.”

젯브레인즈 측은 팀시티 2023.05.4 버전을 통해 취약점을 해결했다. 위에서도 말했지만 이것보다 하위 버전을 발견한다는 건 매우 쉬운 일이다. 따라서 패치를 하지 않은 채 그대로 팀시티를 사용한다면 공격자들이 금방 발견하여 익스플로잇을 할 가능성이 높고, 그 사실을 오랜 기간 인지하지 못할 수도 있다.

3줄 요약

1. 북한의 해킹 조직 둘, 팀시티라는 소프트웨어 개발 구축 플랫폼 익스플로잇.

2. 소프트웨어 개발 플랫폼을 노린다는 건 공급망 공격을 실시한다는 뜻.

3. 이번 취약점은 매우 난이도가 낮기 때문에 최대한 빨리 패치 적용하는 게 중요.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=122862&page=1&mkind=1&kind=1)]​