고도의 공격 기술을 자랑하는 해킹 단체가 2019년부터 아이폰을 겨냥한 공격 캠페인을 진행하고 있다. 여기에다가 애플이 기능 하나를 숨겨놓고 있던 덕분에 문제가 악화될 수 있다.

[보안뉴스 문가용 기자] 애플 아이폰의 SoC 하드웨어에 있는 기능 중 하나에서 다량의 취약점이 발견됐다. 문제는 이 기능이 공식 문서화 되지 않은 것이며, 따라서 이 기능이 존재하는지조차 모르는 사람이 태반이라는 것이다. 이 때문에 아이폰의 업데이트를 자동으로 설정하지 않고 사용할 경우 패치를 놓칠 수 있다. 이 취약점들을 익스플로잇 하는 데 성공할 경우 공격자는 하드웨어 기반 메모리 보호 장치를 우회할 수 있게 된다.

​

[이미지 = gettyimagesbank]

이 취약점에 주목해야 하는 건 현재 아이폰을 노리는 APT 캠페인이 진행되고 있기 때문이다. 이 캠페인의 이름은 '트라이앵귤레이션 작전(Operation Triangulation)’이라고 하며, 공격자들은 제로클릭 취약점을 통해 피해자들을 추적하고 감시한다고 보안 업체 카스퍼스키(Kaspersky)가 발표했다. 카스퍼스키의 설명에 따르면 이 캠페인은 2019년부터 진행되어 온 것이며, iOS 생태계에서 발견된 여러 가지 제로데이 취약점들을 계속해서 악용해 왔다고 한다. iOS 생태계에 지난 4~5년 동안 지속적으로 존재해 왔던 위협이라고 보면 된다.

지난 6월 카스퍼스키는 한 iOS용 스파이웨어에 대한 보고서를 발표한 바 있다. 이 멀웨어는 트라이앵글디비(TriangleDB)였고, 트라이앵귤레이션 작전을 수행하기 위한 목적으로 활용되고 있었다. 다양한 기능들을 내포하고 있기도 했다. 그리고 이번 주 트라이앵글디비에 대한 내용을 추가로 발표했는데, “트라이앵귤레이션 작전에서 동원된 공격 사슬 중 가장 고도로 발전한 것”이라고 평가했다.

트라이앵귤레이션 작전 자체는 아이폰의 아이메시지 앱을 주로 겨냥하며, iOS 16.2 버전까지가 공격 대상이다. 처음 발견됐을 때는 네 개의 제로데이 취약점을 공략하고 있었다. 시간이 지나면서 이들이 익스플로잇 하는 취약점의 수는 점점 늘어나기도 했다.

트라이앵귤레이션 작전, 제로클릭 모바일 공격

이 캠페인은 지극히 평범해 보이는 아이메시지 하나에서부터 시작한다. 공격자가 피해자에게 보내는 것으로 파일이 첨부되어 있다. 최근 메시지의 경우, CVE-2023-41990이라는 원격 코드 실행 취약점을 익스플로잇 하는 것으로 분석됐다. 이 취약점은 애플에만 있는 어드저스트 트루타입(ADJUST TrueType)이라는 폰트 관련 명령과 관련이 있다. 아주 오래된 기능이고, 공식 문건을 통해 설명된 적은 없다.

그런 후 공격자들은 ROP(return-oriented programming)와 JOP(jump-oriented programming)라는 공격 기법이나 엔에엑스프레션(NSExpression) 및 엔에스프레디케이트(NSPredicate)와 같은 쿼리 언어를 활용해 자바스크립트코어 라이브러리를 조작한다. 공격자들은 자바스크립트 내에 권한을 상승시키는 익스플로잇을 임베드 해 놓았고, 이를 가짜 콘텐츠 안에 조심스럽게 숨겨놓는다. 이 가짜 콘텐츠는 약 1만 1천 개의 행으로 구성되어 있다.

이렇게 은밀하게 익스플로잇이 포함되어 있는 자바스크립트 익스플로잇은 자바스크립트코어의 메모리 및 네이티브 API 기능을 통해 구현되는데, 이 때 공격자들이 악용하는 것은 자바스크립트코어의 디버깅 기능인 달러브이엠(DollarVM / $vm)이다.

또한 공격자들은 XNU의 메모리 매핑 시스템 호출에서 발견된 취약점인 CVE-2023-32434(정수 오버플로우 취약점)를 익스플로잇 해 피해자 장비의 물리 메모리에 읽기 및 쓰기 권한을 가지고 접근할 수 있게 된다.

이후 공격자들은 페이지보호층위(Page Protection Layer, PPL)을 우회하는데, 이 때 하드웨어 메모리 맵 I/O(MMIO) 레지스터들을 활용한다. 이 때 익스플로잇 되는 취약점도 처음에는 제로데이였고, 번호는 CVE-2023-38606이었다. 아이폰 장비에 있는 기본 방어 장치들을 뚫기 위해 공격자들은 아이엠에이전트(IMAgent)라는 프로세스를 활성화하여 페이로드를 주입하고 익스플로잇의 흔적들을 지우기도 했다.

그런 후에는 보이지 않도록 사파리 프로세스를 발동시키고, 다음 단계 익스플로잇이 포함되어 있는 웹 페이지로 우회 접속시킨다. 이 페이지에서는 피해자 인증이 진행되고, 통과한다면 사파리에 대한 익스플로잇이 발돈된다. 이 때 악용되는 취약점은 CVE-2023-32435이다. 이 취약점을 통해 공격자들은 셸코드를 실행시킨다. 이 셸코드는 또 다른 익스플로잇을 시작하는데, 이 때 연관되어 있는 취약점은 CVE-2023-32434와 CVE-2023-38606이었다.

여기까지 공격을 진행한 공격자는 루트 권한을 얻게 되고, 그것을 바탕으로 추가 공격을 기획할 수 있게 된다. 캠페인의 진행자들은 이 단계에서 스파이웨어를 설치한다.

아이폰 생태계를 겨냥한 공격 기술, 갈수록 고도화 된다

카스퍼스키는 “여러 단계로 이어지는 공격들이 극도로 발전하고 있다”며 “이전에 없던 정교함과 정확함, 기술에 대한 이해도가 드러난다”고 경고했다. 그것도 iOS 기반 장비들을 겨냥한 캠페인이 이 정도로까지 발전한 것은 유례없는 일이라고 강조한다. 카스퍼스키의 수석 보안 연구원인 보리스 라린(Boris Larin)은 “이번에 발견된 취약점의 근거가 된 기능은 실험이나 디버깅을 목적으로 도입된 것으로 추정된다”며 “보이지 않게 감춰두면 안전할 거라는 보안에 대한 흔한 착각이 만들어낸 사례”라고 강조한다.

“숨기면 안전하다는 개념(security by obscurity)은 보안에 대한 오래된 오해 중 하나입니다. 하지만 공격자들은 자신들의 목적을 달성케 하는 통로를 어떻게 해서든 찾아내죠. 이것 역시 굉장히 오랜 시간 반복되어 온 역사고요. 그러니 문서화 하지 않은 기능이라고 해서 안심해서는 안 됩니다. 오히려 공격자들끼리만 아는 공격 통로가 될 가능성이 높습니다.” 라린의 설명이다.

“게다가 iOS는 매우 폐쇄된 환경입니다. 때문에 공격자들이 아무도 모르는 기능을 익스플로잇 해서 은밀히 침투했을 때 이를 알아내기란 매우 매우 힘든 일이 됩니다. 네트워크 트래픽을 분석하는 것 외에는 사실상 탐지 방법이 없습니다. 엔드포인트 탐지 기술을 설치하는 것도 도움이 될 수 있습니다만 사용자들이 그런 것까지 신경을 쓰지 않는 게 보통이라 문제가 될 수 있습니다.”

3줄 요약

1. 공식 문서로 남겨지지 않았던 기능 하나, 아이폰 겨냥한 제로데이 공격에 악용됨.

2. 아이폰 겨냥한 공격 기술, 갈수록 고도화 되고 있음.

3. 숨김으로써 안전하게 지킨다는 건 오히려 재앙이 될 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=125369&page=1&mkind=1&kind=)]​