파이어아이는 러시아 사용자를 노리는 ‘핀스파이(FINSPY)’ 사이버 스파이 공격이 진행되고 있다고 18일 밝혔다.
파이어아이는 핀스파이 공격에 사용되는 MS 오피스 RTF(Rich Text Format) 문서를 발견했으며, ‘Проект.doc’라는 이름으로 배포돼 러시아 사용자를 대상으로 한 것으로 보인다고 18일 밝혔다.
파이어아이 보고서에 따르면 이 공격은 SOAP WSDL 파서 코드 주입 취약점인 CVE-2017-8759를 활용하고 있으며, 공격 성공시 핀스파이(FINSPY)가 설치된다. 핀스파이는 핀피셔(FinFisher) 또는 윙버드(Wingbird)로도 알려져 있다. 공격시핀스파이 멀웨어 변종 중 하나인 “left.jpg”가 설치되는데, 이것은 빌트인 가상머신을 사용하며, 혼란스럽게 구성된 코드를 활용해 분석을 방해한다.
파이어아이는 핀스파이 악성코드를 이용한 악성 문서가 사이버 스파이 활동 목적으로 러시아어를 사용하는 조직을 대상으로 악용됐을 것이라고 추정했으며, 다수의 고객에게 판매돼 여러 공격에 사용됐을 것으로 예성했다.
파이어아이가 이 공격을 발견한 것은 7월이지만, 4월 발생한 다른 공격에서도 핀스파이 배포에 사용 된 제로데이 취약점 CVE-2017-0199가 금전적 동기를 가진 공격자들로부터 동시에 사용된 것으로 확인됐으며, 다른 공격에도 사용됐을 가능성이 있다고 예측했다.
전수홍 파이어아이 코리아 지사장은 “제로데이 공격은 정부기관, 방위산업, 법조계, IT회사, NGO 단체 등 다양한 산업군을 타깃으로 하고 있으며, 제품 공급사에서 패치를 제공하기 전까지는 탐지 및 차단이 거의 불가능하다”며 “새로운 제로데이 익스플로잇을 사용하는 유사한 공격이 패치가 제공되기 전에 국내에도 진행될 가능성이 매우 높다. 따라서 기업들의 각별한 주의가 필요하다”고 말했다.
