구글 보안 연구팀이 러시아와 중국 정부 지원을 받은 해커가 윈도용 파일 압축/해제 소프트웨어인 WinRAR 취약성을 악용해 공격하고 있다는 증거를 발견했다고 보고했다.
구글 위협분석그룹 TAG에 따르면 공격자는 CVE-2023-38831이라고 불리는 WinRAR 제로데이 취약성을 악용해 공격을 실시하고 있다고 한다. CVE-2023-38831을 처음 발견한 사이버 보안 기업 그룹-IB(Group-IB)는 CVE-2023-38831에 대해 한 스크립트를 숨길 수 있다고 보고했다. 제작사는 8월 2일 패치를 적용해 수정했다. 하지만 TAG는 WinRAR 업데이트를 하지 않은 많은 사용자가 위험에 처해 있다고 지적한다. 실제로 TAG는 러시아와 중국 정부 지원을 받은 여러 해킹 그룹이 CVE-2023-38831을 악용해 해킹하고 있다고 보고했다.
TAG 보고에 따르면 WinRAR 취약점을 악용해 해킹 행위를 하는 그룹 중에는 2017년 우크라이나 중앙은행이나 국영 통신, 전력 인프라 등에 큰 피해를 준 랜섬웨어(NotPetya)를 이용해 공격을 실시하는 러시아 군사 스파이 부대 샌드웜(Sandworm)도 포함되어 있다.
TAG는 9월 초부터 샘드웜이 WinRAR 제로데이 취약성을 악용하고 있는 것으로 확인됐다고 밝혔다. 샌드웜 수법으로는 취약점을 악용하는 아카이브 파일 링크가 이메일에 포함되고 이 링크를 열면 피해자 PC 정보를 훔치는 멀웨어가 설치되어 브라우저에서 사용하는 비밀번호 등이 유출된다는 것이다.
또 러시아 정부가 지원하는 해커 집단인 APT28이 우크라이나 공공 정책 싱크탱크에 대한 이메일 캠페인을 실시해 우크라이나 인터넷 사용자에 대해 공격하고 있다고 한다. 중국 정부가 지원하는 APT40 역시 비슷한 수법으로 파푸아뉴기니에 거점을 둔 사용자를 표적으로 한 피싱 캠페인을 실시하고 있다고 보고됐다. 이런 해커 집단이 실시한 캠페인에선 피해자에게 취약점 악용 아카이브 파일을 포함한 드롭박스에 대한 링크가 첨부되어 있었다고 한다.
TAG는 수정 패치가 배포됐음에도 WinRAR 제로데이 취약점이 계속 악용되고 있다는 것에 대해 알려진 취약점을 악용한 공격이 효과적이라는 걸 강조하는 것이라며 사용자는 곧바로 WinRAR에 최신 패치를 적용해 소프트웨어 안전을 보장해야 한다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.