지난 2015년 7월 5일, 오후 5시 26분 경 이탈리아의 업체 HackingTeam 의 트위터가 해킹당하며

해당 트위터를 통해 400GB 가 넘는 HackingTeam 의 내부 자료를 받는 토렌트 파일 링크가 업로드 되었습니다.

자료 유출 자체도 심각한 문제이지만, 더욱이 이 방대한 양의 자료 중 Adobe Flash 와 Windows 의 0-day 취약점에 대한 정보가 다수 포함되어 있어 문제가 되고 있습니다.

그 중 Adobe Flash 의 0-day 취약점 가운데 하나인 CVE-2015-5119 는 TrendMicro 에 의하면 이미 HackingTeam 데이터 유출 사고가 일어나기 이전인

7월 1일부터 이 취약점을 이용한 익스플로 잇이 국내에서 제한적인 타겟을 향한 공격에 사용되는 것을 감지했었다고 밝히고 있습니다.

7월 8 일 Adobe 에서 해당 취약점에 대한 패치를 내놓았으나 이미 Angler EK/Nuclear EK 등을 비롯하여

많은 Exploit Kit 에서는 이 취약점을 이용하는 수 많은 변종을 지속적으로 만들어내고 있습니다.

유출된 HackingTeam 의 자료에서 발견된 CVE-2015-5119 취약점 정보는 Internet Explorer 를 주요 타겟으로 하여

악성 SWF 가 삽입된 페이지에 접속하고 버튼을 누르면 계산기(calc.exe) 를 실행시키는

거의 완성형에 가까운 PoC 이며, 취약점에 대한 자세한 트리거 과정까지 설명하고 있 습니다.

이러한 이유로, 기타 다른 Explolt Kit 에서도 빠른 속도로 해당 취약점을 이용하는 악성 코드를 추가하고 있는 상황입니다.

최근에는 북한으로 추정되는 해커 조직이 해당 취약점을 이용하는 악성 코드를 국내 북한 관련 사이트에 유포하는 정황이 드러나고,

그 외에도 수많은 감염 사이트가 포착되면서 국내만으로 한 정한 위협도 크게 증가하는 상황입니다.

해당 취약점을 이용하는 악성 코드는 현재도 급격히 증 가하고 있고 이후에도 여전히 활동할 것으로 생각되기에, 이 취약점을 이용하는 샘플 중 하나를 분석한 내용을 요약했습니다.