HACKER MEDICINE

지난 2012년, 시만텍은 Elderwood 플랫폼에 주목한 바 있습니다. 당시 이 플랫폼은 각종 산업 분야를 노리는 스피어피싱 및 워터링홀 공격에 사용되고 있었습니다. Elderwood 플랫폼은 “소비자 친화적”으로 설계되고 패키지화된 다양한 익스플로잇의 모음입니다. 따라서 기술적 배경이 없는 공격자도 편리하게 이 플랫폼을 이용하여 원하는 표적을 대상으로 제로데이 익스플로잇을 구사할 수 있습니다.

시만텍은 국방, 군수품 제조, IT, 인권 운동 등 다양한 분야가 Elderwood 플랫폼 기반 공격의 대상이 되고 있음을 확인했습니다. 특히 Operation Aurora와 같이 이목이 집중된 공격 작전에서 이러한 익스플로잇 모음이 사용된 바 있습니다.

Elderwood 플랫폼은 대략 2012년부터 문서화되기 시작했지만, 그 이후에도 꾸준히 업데이트되면서 최신 제로데이 익스플로잇이 추가되었습니다. Elderwood 플랫폼은 2014년이 시작된 지 채 한 달도 지나지 않아 3건의 제로데이 취약점에 대한 익스플로잇 공격에 사용되면서 건재함을 과시했습니다.

시만텍의 조사에 따르면, 원래 Elderwood 플랫폼은 단일 공격 그룹에서 사용되었습니다. 하지만 최근 조사 결과는 여러 그룹에서 이 플랫폼을 사용하고 있을 가능성을 시사합니다. 증거를 검토한 바로는, 단일 유포자가 플랫폼 판매를 담당하거나 한 주요 조직에서 자체 공격 팀들을 위해 해당 익스플로잇 모음을 개발한 것으로 보입니다. 이 두 시나리오 모두 현재 활동 중인 최대 규모의 공격 집단들이 일찍부터 제로데이 익스플로잇을 사용하게 된 경위를 밝히는 데 중요한 단서가 될 수 있습니다.

누가 Elderwood를 개발했을까?

Elderwood 플랫폼의 제로데이 익스플로잇을 활용하는 공격자의 실체에 대해서는 몇 가지 이론이 있습니다. 시만텍이 분석한 결과, 그중 개연성이 높은 두 가지 시나리오는 아래와 같습니다.

• 하나의 모체 조직으로부터 여러 하위 그룹이 갈라져 나왔습니다. 하위 그룹은 각각 특정 업종을 공격할 임무를 맡고 있습니다. 이들은 각자 개발한 악성 코드군을 사용하며 자체 네트워크 인프라스트럭처를 가동합니다. 모체 조직이 제로데이 익스플로잇을 보유하고 있으며 하위 그룹에 이러한 익스플로잇을 배포하고 사용 현황을 감독합니다.

그림 1. 여러 팀으로 구성된 단일 조직 전반에 배포되는 제로데이 익스플로잇

• 공격 집단은 각자 나름의 목적을 가진 개별 독립체입니다. 이러한 그룹 모두 하나의 제로데이 익스플로잇 공급자와 관계를 맺고 있으며, 이 공급자가 동시에 여러 그룹에 익스플로잇을 보급합니다. 공급자는 일부 그룹에 며칠 먼저 제로데이 익스플로잇을 제공하는 등의 특혜를 줄 수도 있습니다.

그림 2. 단일 공급자가 여러 그룹에 배포하는 제로데이 익스플로잇

이 블로그에서 자세히 살펴보겠지만, 시만텍이 수집한 증거로 미루어볼 때 누군가 중개 조직을 통해 혹은 여러 집단에 직접적으로 다양한 Internet Explorer 및 Adobe Flash 제로데이 익스플로잇을 공급하는 것으로 보입니다. 이것만으로도 이러한 공격자들의 가용 자원 수준을 가늠해볼 수 있습니다.

또한 외부 배포자로부터 익스플로잇을 구매할 수 있다면 해당 구매 조직은 그러한 비용을 지불할 만한 상당한 자금력을 보유하고 있을 것입니다. 만약 자체적으로 익스플로잇을 개발했다면 해당 조직에 뛰어난 기술력을 갖춘 인력이 있음을 의미합니다. 이들은 이미 넉넉한 보수를 받고 있거나 아니면 다른 동기 요인이 있어 직접 공개 시장에 나서서 익스플로잇을 판매하지 않는 것으로 보입니다.

Elderwood의 대표적인 익스플로잇

2012년에는 Elderwood 플랫폼에 여러 Internet Explorer 및 Adobe Flash 익스플로잇이 포함되었는데, 이들은 아래와 같은 버그를 비롯하여 각종 취약점을 이용했습니다.

• Adobe Flash Player 개체 유형 혼동 원격 코드 실행 취약점(CVE-2012-0779)
• Microsoft XML 코어 서비스 원격 코드 실행 취약점(CVE-2012-1889)
• Microsoft Internet Explorer 동일 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

최근 시만텍은 이 플랫폼에서 아래와 같은 취약점을 노리는 새로운 제로데이 익스플로잇이 등장했음을 확인했습니다. 그중 상당수는 기존의 익스플로잇과 유사합니다.

• Adobe Flash Player 및 AIR 원격 코드 실행 취약점(CVE-2014-0502)
• Microsoft Internet Explorer Use-After-Free 원격 코드 실행 취약점(CVE-2014-0322)
• Microsoft Internet Explorer 메모리 손상 취약점(CVE-2014-0324)

이러한 잇스플로잇은 Elderwood 플랫폼에서 사용될 뿐 아니라 여러 Elderwood 캠페인 간의 연관성을 보여주는 단서이기도 합니다. 이에 대해서는 좀더 자세히 설명하겠습니다. 이제 지난 몇 년 동안 등장했던 Elderwood 플랫폼을 사용한 몇몇 주요 공격 집단에 대해 알아보겠습니다.

누가 Elderwood 플랫폼을 사용해 왔는가?
아래 도표는 최근 Elderwood 플랫폼이 사용되었던 유명 사례를 시간순으로 정리한 것입니다. 

그림 3. 최근 대표적인 제로데이 익스플로잇 공격의 타임라인

다음 공격 집단 중 상당수는 Elderwood 플랫폼에만 의존하지는 않지만 오랫동안 대부분의 주요 작전에서 광범위하게 이 플랫폼을 활용해 온 것으로 드러났습니다. 공격자들은 Elderwood 플랫폼에서 공략하는 것으로 알려진 취약점과 함께 Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free 원격 코드 실행 취약점(CVE-2012-4792), Microsoft Internet Explorer 원격 코드 실행 취약점(CVE-2014-1776)과 같은 허점도 이용했습니다.

표 1. Elderwood 플랫폼을 사용하는 공격 집단

Elderwood의 연결성

위와 같은 공격 집단의 작전에 Elderwood가 사용될 뿐 아니라 해당 익스플로잇 인프라스트럭처도 서로 연결되어 있는 것으로 보입니다.

최근 Internet Explorer의 CVE-2014-0322 및 CVE-2014-0324 취약점을 노렸던 두 익스플로잇 공격은 동일한 셸 코드를 비롯하여 많은 공통점을 가지고 있습니다. 또한 둘 다 이미지에서 가져온 악성 코드를 해독한 다음 해독한 악성 코드를 %Temp% 폴더 경로에 “.txt” 확장자 파일 형태로 기록할 수 있습니다.

뿐만 아니라 CVE-2014-0502 및 CVE-2014-0322 취약점에 대한 익스플로잇 모두 동일한 사이트에서 호스팅되었습니다. 그리고 CVE-2014-0324 익스플로잇이 Backdoor.Linfo 유포에 사용된 징후가 있습니다. 이 악성 코드는 2012년에도 CVE-2012-0779 익스플로잇을 통해 유포된 적이 있습니다.

아래 이미지는 이러한 공격 집단의 Elderwood 플랫폼 사용 연관성을 종합적으로 정리한 것입니다.

그림 4. 최근 및 과거 제로데이 익스플로잇에서 나타난 몇 가지 연관성

결론

제로데이 익스플로잇 사용이 특정 핵심 집단 또는 조직과 연결된다고 단정짓기는 어렵습니다. 제로데이 익스플로잇이 공격에 사용되었다면 이를 리버스 엔지니어링하고 복사하여 다른 공격에 재활용하는 것이 가능합니다. 특히 Elderwood 플랫폼은 익스플로잇이 깔끔하게 패키지화되고 페이로드와 분리되어 있기 때문에 손쉽게 리버스 엔지니어링할 수 있습니다. Elderwood 익스플로잇은 고객의 사용 편의성을 높이기 위해 의도적으로 그와 같이 구현되었을 가능성이 있습니다.

하지만 관찰된 공격 작전에서 확인된 것처럼, 공격 집단들이 Internet Explorer 및 Flash 제로데이 익스플로잇을 구사하면서 동일한 악성 코드군을 배포하는 패턴이 반복적으로 나타납니다. 그뿐 아니라 이러한 익스플로잇은 구현 측면에서도 유사한 점이 많습니다. 증거에 따르면, 공격 집단들 간에 단순한 익스플로잇 리버스 엔지니어링에 국한되지 않은 보다 적극적인 수준의 교감이 이루어지는 것으로 보입니다.

Elderwood 개발자가 제3의 공급자이든지 자체 팀을 운영하는 대형 조직이든지 상관없이 ‘Elderwood’의 제로데이 익스플로잇을 이용하는 여러 집단은 확실한 자원과 동기를 보유하고 있습니다. 이들은 잠재적 표적에게 심각한 위협이 됩니다.

시만텍은 안티바이러스, IPS, 행동 및 평판 기술을 활용하여 이 블로그에 언급된 다양한 악성 코드군으로부터 고객을 보호하고 있습니다.

Back in 2012, Symantec researched the Elderwood platform, which was used in spear-phishing and watering-hole attacks against a wide variety of industries. The Elderwood platform essentially consists of a set of exploits that have been engineered and packaged in a “consumer-friendly” way. This allows non-technical attackers to easily use zero-day exploits against their targets.

We observed attackers using the Elderwood platform against a large number of sectors, including defense, defense supply chain manufacturing, IT, and human rights. Most notably, attackers used this set of exploits in a high-profile campaign known as Operation Aurora.

The Elderwood platform may have first been documented in 2012, but it has continuously been updated with some of the latest zero-day exploits. Within just one month at the start of 2014, the Elderwood platform was used to exploit three zero-day vulnerabilities, proving that this exploit set is still a formidable threat.

Initially, our research suggested that the Elderwood platform was being used by a single attack group. Our latest research leads us to believe that several groups could be using this platform. The evidence suggests that either one distributor is responsible for selling the platform or one major organization developed the exploit set for its in-house attack teams. Either scenario could shed light on how some of the biggest attack groups in action today get such early access to zero-day exploits.

Who could have created Elderwood?
There are several theories which may describe the makeup of the attackers utilizing the Elderwood platform’s zero-day exploits. Our research suggests that there are two more probable scenarios.

• There is a single parent organization broken into a number of subgroups. Each subgroup is tasked with targeting a particular industry. They each use individually developed malware families and operate their own network infrastructure. The parent organization obtains the zero-day exploits and coordinates the distribution and utilization of these exploits amongst the subgroups.

Figure 1. Zero-day exploits distributed throughout an organization consisting of multiple teams

• The attack groups are separate entities with their own agendas. These groups all have contact with a single zero-day exploit supplier which delivers the exploits to the groups at the same time. The supplier may give certain groups preferential treatment, offering zero-day exploits to some attack groups a few days before others. 

Figure 2. Zero-day exploits distributed to different groups but by a common supplier

Based on our evidence, which we will discuss in this blog, it seems likely that someone is supplying various Internet Explorer and Adobe Flash zero-day exploits to an intermediate organization or directly to the various groups. This alone is a sign of the level of resources available to these attackers. 

If the exploits are being purchased from a third party distributor, the purchasing organization must have substantial financial resources to pay for the exploits. If the exploits are developed in-house, this would indicate that the organization has hired several highly technical individuals to do so. These employees are either being well compensated for their work or have some other motivating factor that prevents them from selling exploits on the open market themselves.

Elderwood’s notable exploits
In 2012, several Internet Explorer and Adobe Flash exploits were part of the Elderwood platform, which took advantage of a number of vulnerabilities, including the following bugs.

• Adobe Flash Player Object Type Confusion Remote Code Execution Vulnerability (CVE-2012-0779)
• Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889)
• Microsoft Internet Explorer Same ID Property Remote Code Execution Vulnerability (CVE-2012-1875)

Recently, we have seen the platform use new zero-day exploits against the following vulnerabilities, many of which are similar to the previously used exploits.

• Adobe Flash Player and AIR Remote Code Execution Vulnerability (CVE-2014-0502)
• Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322)
• Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324)

These exploits are not the only ones used in the platform, but as we will discuss, they show a connection between Elderwood campaigns. Let’s take a look at some of the major attack groups who have used the Elderwood platform over the past few years.

Who has been using the Elderwood platform?
The following is a timeline of the most recent high-profile use of the Elderwood platform. 

Figure 3. Timeline of known activities of recent zero-day exploits

While many of the following attack groups do not use the Elderwood platform exclusively, they have been observed using it throughout many of their major campaigns over a number of years. Along with taking advantage of vulnerabilities that are known to be covered in the Elderwood platform, the attackers also exploited other flaws, such as the Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free Remote Code Execution Vulnerability (CVE-2012-4792) and the Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776).

Table 1. The attack groups using the Elderwood platform

The Elderwood connection
Along with the attack groups’ use of these exploits through their campaigns, the exploits’ infrastructure also appear to be linked.

The two recent Internet Explorer zero-day exploits for CVE-2014-0322 and CVE-2014-0324 share a number of features, including common shellcode. They both can also decrypt malware retrieved from images and write the decrypted malware to a file with a “.txt” extension in the %Temp% folder. 

Along with this, exploits for both CVE-2014-0502 and CVE-2014-0322 were hosted on the same site. Finally, there are indications that suggest that a CVE-2014-0324 exploit was used to drop Backdoor.Linfo. The same malware was dropped in 2012 with the CVE-2012-0779 exploit. 

The following image gives an overall look at how these attack groups’ use of the Elderwood platform are connected.

Figure 4. Some of the connections between recent and previous zero-day exploits

Conclusion
It’s difficult to definitively link the use of zero-day exploits back to one central group or organization. Once a zero-day exploit has been deployed in an attack, it can be reverse-engineered, copied and re-purposed for other attackers to use. The Elderwood platform is particularly easy to reverse-engineer, as its exploits are neatly packaged and separated from the payload. Elderwood’s exploit implementations may have been purposely created in this manner to make it easier for its customers to use. 

However, in these observed attack campaigns, there is a repeating pattern of attack groups using Internet Explorer and Flash zero-day exploits to deliver the same malware families. Not only that, but these exploits share many similarities in their implementation. This evidence indicates that there is a greater level of communication between attack groups than if the exploits were simply being reverse-engineered. 

Whether Elderwood’s creator is a third-party supplier or a major organization equipping its own teams, the various groups using ‘Elderwood’ zero-day exploits are well resourced and motivated. They present a serious threat to potential targets.

Symantec protects customers from the various malware families listed in this blog through our antivirus, IPS, behavioral and reputation technologies.