안랩 관계자는 "‘Operation Code on Toast by Ta-RedAnt(TA-RedAnt 공격그룹의 팝업광고를 악용한 악성코드 유포)’라는 제목의 이번 보고서에는 지난 5월 안랩과 NCSC가 ‘TA-RedAnt(별칭: RedEyes, ScarCruft, Group123, APT37 등으로 알려진 북한의 해킹조직)’ 공격그룹의 대규모 사이버 공격에 대응하며 발견한 IE 브라우저 내 신규 제로데이 공격과 이를 이용한 공격에 대한 상세 분석 내용이 담겨 있다"라고 전했다.
안랩과 NCSC가 발견한 이번 IE취약점 활용 공격은 최근 다양한 무료 소프트웨어에서 함께 설치되는 특정 ‘토스트(Toast)’ 광고 실행 프로그램을 악용한 것이 특징이다. 토스트(Toast)란 PC화면 하단(주로 우측 하단)에서 솟아오르는 형태로 나타나는 팝업 알림이다.
이번 사례에서 공격자는 특정 토스트 광고 프로그램이 광고 콘텐츠를 다운로드 할 때 지원이 종료된 취약한 인터넷 익스플로러 모듈을 사용한다는 점을 노렸다. 공격자는 먼저 토스트 광고 프로그램이 광고 콘텐츠를 다운(제공)받는 특정 국내 광고 대행사의 서버를 공격해 권한을 획득했다. 이후 해당 서버의 광고 콘텐츠 관련 스크립트에 취약점 코드를 삽입했다. 이 취약점은 토스트 광고 프로그램이 서버에서 콘텐츠를 다운로드 후 렌더링하는 과정에서 발현된다.
이번 취약점은 인터넷 익스플로러의 자바스크립트 엔진(jscript9.dll)이 데이터 타입을 잘못 해석해 오류(Type Confusion)를 발생시키도록 유도하는 것이다. 공격자는 이 점을 악용해 토스트 광고 프로그램이 설치된 PC에 악성코드 감염을 유도했다. 감염 이후에는 원격 명령 등 다양한 악성행위를 수행할 수 있다.
편도욱 로이슈 기자 toy1000@hanmail.net