Adobe Flash Player 취약점(CVE-2015-5119)을 이용한 악성코드 유포 주의 (2015.7.11)

국내 특정 비트코인(Bitcoin) 커뮤니티 웹 사이트에 접속할 경우 최근 이슈가 되고 있는 Adobe Flash Player 제품의 CVE-2015-5119 취약점을 이용한 악성코드 유포 행위가 확인되고 있습니다.

• 정부 기관에 스파이웨어(Spyware)를 판매한 Hacking Team 해킹 소식 (2015.7.7)

• 업데이트 : Adobe Flash Player 18.0.0.203 & Adobe AIR 18.0.0.180

해당 악성코드 유포에 사용된 CVE-2015-5119 보안 취약점은 정부 기관에 스파이웨어(Spyware)를 판매해오던 Hacking Team이 해킹되어 공개된 Adobe Flash Player 제로데이(0-Day) 취약점으로 2015년 7월 8일 패치가 이루어진 상태입니다.

 

이번 악성코드 유포에서는 일본(Japan) 도메인으로 구성된 웹 서버에 등록된 스크립트(digital-****.jp/calc.htm)를 실행하여 exp1.swf 악성 파일에 포함된 코드 실행을 수행하고 있습니다.

• h**p://www.digital-****.jp/exp1/exp1.swf (SHA-1 : 49e643a42bcfc0e8cd643921cc75e35881957342) - MSE : Exploit:SWF/Ckieam.B (VT : 7/55)

이를 통해 국내 특정 웹 서버에 등록된 comm.js PE 파일<SHA-1 : 5b3a3ba0259f7702f8320c2c7e8ff1d69070bbce - Kaspersky : Trojan.Win32.Agent.nesida (VT : 21/55)>을 다운로드하여 시스템 감염을 유발하고 있습니다.

 

특이한 점은 최종 파일(comm.js)은 Server-Side Polymorphic 기법으로 다운로드시마다 Hash값이 변경됩니다.

• C:\Users\(사용자 계정)\AppData\Local\Temp\msseces.exe (SHA-1 : ec183cdfb64ae9615d3c27e5556bd6bdf17089cc) - avast! : Win32:Malware-gen (VT : 22/55)

최초 생성된 msseces.exe 악성 파일은 실행 후 1분이 경과하면 자신을 "C:\Users\(사용자 계정)\AppData\Local\Temp\msseces.exe_bak" 파일로 변경 후 새로운 Hash값을 가진 "C:\Users\(사용자 계정)\AppData\Local\Temp\msseces.exe" 파일을 생성하여 실행됩니다.

 

참고로 msseces.exe 파일명은 Microsoft Security Essentials(MSE) 무료 백신에서 사용되는 "C:\Program Files\Microsoft Security Client\msseces.exe" 파일(Microsoft Security Client User Interface)과 동일하게 구성되어 있으며, 이번에 확인된 악성 파일은 "회사 이름 : LG Uplus,.CO.LTD / 파일 설명 : Message Manager 2.0" 속성값을 가지고 있는 것이 특징입니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MSC = C:\Users\(사용자 계정)\AppData\Local\Temp\msseces.exe

이를 통해 Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\Temp\msseces.exe" 파일을 시작 프로그램(MSC)으로 등록하여 자동 실행되어 메모리에 상주합니다.

이를 통해 해킹된 것으로 추정되는 국내 "121.124.124.210:8080" IP 서버(121-124-124-210.you*we.co.kr)와 통신을 지속적으로 시도하고 있습니다.

 

생성된 msseces.exe 악성 파일은 "32177921-9F67-42e7-BE1F-73F104777885" 뮤덱스(Mutex)를 생성하며, 파일 내부에서는 "F:\Project\MyRatServer\Release\MyRatServer.pdb" 디버깅 정보가 있는 것으로 보아 원격 제어를 목적으로 제작된 Remote Access Trojan(RAT) 계열로 보입니다.

 

정상적으로 C&C 서버와 통신이 이루어질 경우 공격자의 의도에 따라 추가적인 악성 파일 다운로드 또는 업로드를 통한 정보 유출 등의 악의적 행위가 예상됩니다.

해당 악성코드 제거를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 msseces.exe 프로세스(파일 설명 : Message Manager 2.0)를 찾아 종료한 후 생성 파일 및 레지스트리 값을 삭제하시기 바랍니다.

• <Adobe Security Bulletin> Security Advisory for Adobe Flash Player : APSA15-04 (2015.7.10)

현재 Adobe 업체에서는 Hacking Team에서 유출된 또 다른 Adobe Flash Player 제로데이(0-Day) 취약점(CVE-2015-5122)에 대한 긴급 보안 업데이트 계획을 발표한 상태이므로 위와 유사한 악성코드 유포가 지속적으로 발생할 수 있으므로 Adobe Flash Player 업데이트에 각별히 신경쓰시기 바랍니다.