💡 지능형 APT 공격형 해커는 기업망 침투를 위해 이메일을 통해 쉽게 익스플로잇 가능한 취약점 이용 💡 Exchange EWS 서버, Active Directory 등을 운영하는 경우, NTLM 해쉬 값 노출을 악용한 비인가된 인증 공격(Pass-the-Hash)에 노출되지 않도록 비정상 행위 모니터링 필요 💡 해당 취약점(CVE-2023-23397)을 우회한 취약점(CVE-2023-29324)의 경우, 일반 응용프로그램인 아웃룩에서 서버 접속 등을 할 때 구 버전의 소프트웨어(IE11)의 렌더링 엔진을 사용하여 발생하는 것으로 유사한 취약점 (CVE-2023-35336, CVE-2023-35308)이 지속적으로 나타나고 있어 모든 소프트웨어에 대한 업데이트 상시 수행 및 최신 버전 유지 필요
CERT-UA(Computer Emergency Response Team for Ukraine)는 자국 정부기관들을 대상으로 ‘윈도우 업데이트 안내’ 메일로 가장한 피싱메일이 다량 발송되었으며 러시아 “팬시베어(Fancy Bear)” APT28 해킹 그룹의 소행”이라고 발표하였다. 이에 따라 Microsoft社는 “MS Outlook에서 발생하는 권한 상승 취약점(CVE-2023-23397)”을 2023년 3월 14일 정식 보안업데이트에 포함시켜 패치를 발표하였다. 해당 취약점은 Outlook 이메일에 있는 자동 알림 설정으로 인해 발생하는 것으로 알림 음원 파일(.wav 등)을 특정 SMB서버에서 다운로드 받도록 설정할 때 발생한다. 해당 취약점을 이용한 공격 시나리오는 ① SMB 서버를 통해 인증 정보를 탈취(패스워드, NTLMv2 해쉬 등)하는 시나리오와 ② WebDav 서버를 통해 쿠키 정보(DavSetCookie)를 탈취하거나 악성코드를 유포하는 시나리오, 두 가지로 나누어진다.
해당 취약점은 ① 스피어피싱 이메일 제작이 가능한 점, ② 취약점 구현이 비교적 쉬운 점, ③ 피해자가 해당 메일을 열람하지 않고 수신한 것 만으로도 공격 수행이 가능하다는 점에서 위험성이 높다. 뿐만 아니라, 피해자가 메일을 열람한 것만으로도 크레덴셜(Credential) 탈취가 가능하여 피해자 시스템 망에 접근할 수 있어 APT 공격을 수행하는 해커에게는 악용하기 좋은 취약점이다. 해당 취약점은 모든 버전의 Windows용 Microsoft Outlook만 영향을 받으며 Android, iOS, Mac과 같은 다른 버전의 Microsoft Outlook과 웹용 Outlook M365 서비스는 영향받지 않는 것으로 보고하고 있다. 본 보고서에서는 MS Outlook 제로데이 취약점을 이용한 사이버 공격에 대해 알아보고, 취약점 발생 원인 등에 대해 알아보고자 한다.
💡 “펜시베어(Fancy Bear)” Apt28 해킹 그룹(출처 : MITRE) APT28 은 러시아의 GRU(General Staff Main Intelligence Directorate) 85th Main Special Service Center(GTsSS) 군부대 26165에서 파생된 위협 그룹으로 2004년부터 활동하였다. APT28은 ‘16년 힐러리 클린턴 캠페인, 민주당 전국위원회(DNC), 민주당 의회 선거운동위원회(DOC)를 손상시켜 미국 대통령 선거에 개입하려는 시도를 한 것으로 알려졌다. ‘14년~‘18년 사이 세계반도핑기구(WADA), 미국 반도핑기구 , 미국 핵시설, 화학무기금지기구(OPCW), Spiez 스위스 화학 연구소 등을 공격한 것으로도 알려져 있다.
본 보고서의 목차는 아래와 같다.