.gif)
설 연휴기간에도 랜섬웨어 활개...RIG EK 이용한 유포 활발
토렌토 사이트와 광고 배너 통한 악성코드 유포 기승
[보안뉴스 김경애] 설 연휴기간 동안 불법으로 영화를 다운로드 받을 수 있는 토렌토 사이트와 광고배너를 통해 악성코드가 유포됐으며, 설 연휴기간 동안에 랜섬웨어가 집중적으로 뿌려졌다. 뿐만 아니라 금융정보를 노린 파밍용 악성코드도 설 연휴 전까지 줄줄이 포착됐고, 호스팅 업체를 노린 악성코드 유포 공격과 보안이 허술한 중소기업을 노린 공격도 계속 발생했다.
▲ 국내 일일 익스플로잇 킷 유포 현황(자료: 하우리)
설 연휴기간, 랜섬웨어 활개
먼저 지난 7일 설 연휴기간에도 랜섬웨어가 활개를 쳤다. 특히, 랜섬웨어를 주로 뿌리는 러시아와 동유럽 해커조직들의 활동이 두드러졌다.
이에 대해 하우리 최상명 CERT 실장은 “설 연휴기간에는 중국도 춘절이라 중국 해커조직이 뿌리는 악성코드는 감소한 반면, 랜섬웨어를 유포하는 러시아와 동유럽 해커조직은 설날 연휴기간에도 랜섬웨어를 유포했다”며 각별한 주의를 당부했다.
그중에서도 RIG 익스플로잇 킷(Exploit Kit)를 이용한 랜섬웨어 유포가 가장 활발했던 것으로 분석됐다. 지난 4일 하우리가 집계한 국내 일일 익스플로잇 킷 유포현황을 살펴보면 RIG EK가 57%, Angler EK가 22%, Magnitude EK가 14%, Nuclear EK가 7%로 집계됐으며, 대부분 랜섬웨어를 유포했던 것으로 드러났다.
인터넷 뱅킹 위장한 파밍 악성코드 기승
이외에도 한 주간 개인정보와 금융정보를 탈취하는 공격 역시 잇따라 포착됐다. 이에 대해 빛스캔 측은 “개인금융정보 탈취 공격이 지속적으로 발견되고 있다”고 우려했다.
▲ Autoshut.exe 실행 화면(자료: 잉카인터넷)
지난 5일에는 인터넷뱅킹을 위장한 파밍 악성코드가 발견됐다. 이와 관련 잉카인터넷 측은 “인터넷뱅킹을 위장한 파밍 악성코드인 Autoshut.exe를 실행하면 일본어로 구성된 타이머가 실행돼 언뜻 보면 정상파일로 보일 수 있다”며 “하지만 특정 조건이 만족될 경우 C:\3lpx7x7t13\Ruyonfn.exe 파일을 생성 및 실행시키고, 이 파일로 파밍 동작을 수행한다”고 밝혔다.
생성하는 폴더명과 파일명은 모두 임의의 문자이며, 파밍 악성코드의 악성동작은 윈도우 부팅 시마다 자동 실행되기 위해 레지스트리에 등록하고, DNS Client 서비스 메모리를 변조한다는 게 잉카인터넷 측의 설명이다.
토렌토 통해 악성코드 유포
한 주간 불법으로 영화를 다운로드 받을 수 있는 토렌토 사이트를 통해서도 악성코드가 유포된 정황이 발견됐다.
▲ 압축파일 유포사례(자료: 잉카인터넷)
발견된 악성파일은 영화 ‘마션’을 사칭한 ‘마션[자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe’ 악성파일이며, C&C와 백도어 등의 악성동작을 수행하는 것으로 분석됐다.
악성코드 유포방식과 관련해 잉카인터넷 측은 “토렌토 사이트를 통해 유포되는 악성파일은 업로드된 파일의 확장자를 수정하거나, 압축파일 업로드를 통한 유포, 도움말 파일(.chm)을 통한 유포, 화면보호기 파일(.scr)을 통한 유포 등 다양하다”며 “1차적으로 다운받은 파일의 확장자를 잘 확인한다면 이러한 위협으로부터 방지할 수 있다”고 설명했다. 또한, 토렌트를 이용한 악성코드 감염 유도는 대부분 불법 사이트에 국한되어 있기 때문에 합법적인 경로를 통해 정상적인 콘텐츠를 이용할 것을 주문했다.
호스팅 업체 노린 공격 주의
지난 3일에는 특정 대학교에서 운영중인 대학원, XXX아트 심포지엄, 게임 등의 웹사이트 통한 악성코드 유포 정황이 발견됐다.
이에 대해 제로서트 측은 “특정 호스팅 업체 해킹으로 인해 서비스를 받는 모든 홈페이지가 악성코드 유포에 악용될 수 있다”며 “호스팅 업체 및 워드프레스 기반 홈페이지 관리자는 홈페이지 이상 유무와 워드프레스 업데이트 유무를 확인할 것”을 당부했다.
광고배너에 악성링크 삽입
2월 1주와 2주차에는 광고배너에 악성링크를 삽입해 다단계로 연결되는 공격 방식과 클라우드 서비스를 이용하는 웹사이트를 타깃으로 C&C 서버와 공격코드 유포지로 활용하는 공격이 기승을 부렸다.
이에 대해 빛스캔 측은 “광고배너를 통한 대량 악성코드 유포가 3주 연속으로 발견됐으며, 언론사, 쥬얼리샵, 파일공유(P2P), 여행사 사이트 등 클라우드 서비스를 이용하는 웹사이트를 악성코드 유포지로 활용했다”고 밝혔다.
보안 허술한 중소기업 집중 공격
또한 2월 1주차에는 보안이 허술한 중소기업을 타깃으로 한 사이버공격도 잇따라 발견됐다. 특히, 이번에 발견된 공격은 평일 시간대에 악성코드가 집중적으로 활동한 정황이 포착됐다.
이와 관련 빛스캔 측은 “중소기업 사이트 10여곳에서 평일 시간대에 악성코드가 집중적으로 활동한 정황이 포착됐다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
토렌토 사이트와 광고 배너 통한 악성코드 유포 기승
[보안뉴스 김경애] 설 연휴기간 동안 불법으로 영화를 다운로드 받을 수 있는 토렌토 사이트와 광고배너를 통해 악성코드가 유포됐으며, 설 연휴기간 동안에 랜섬웨어가 집중적으로 뿌려졌다. 뿐만 아니라 금융정보를 노린 파밍용 악성코드도 설 연휴 전까지 줄줄이 포착됐고, 호스팅 업체를 노린 악성코드 유포 공격과 보안이 허술한 중소기업을 노린 공격도 계속 발생했다.
▲ 국내 일일 익스플로잇 킷 유포 현황(자료: 하우리)
설 연휴기간, 랜섬웨어 활개
먼저 지난 7일 설 연휴기간에도 랜섬웨어가 활개를 쳤다. 특히, 랜섬웨어를 주로 뿌리는 러시아와 동유럽 해커조직들의 활동이 두드러졌다.
이에 대해 하우리 최상명 CERT 실장은 “설 연휴기간에는 중국도 춘절이라 중국 해커조직이 뿌리는 악성코드는 감소한 반면, 랜섬웨어를 유포하는 러시아와 동유럽 해커조직은 설날 연휴기간에도 랜섬웨어를 유포했다”며 각별한 주의를 당부했다.
그중에서도 RIG 익스플로잇 킷(Exploit Kit)를 이용한 랜섬웨어 유포가 가장 활발했던 것으로 분석됐다. 지난 4일 하우리가 집계한 국내 일일 익스플로잇 킷 유포현황을 살펴보면 RIG EK가 57%, Angler EK가 22%, Magnitude EK가 14%, Nuclear EK가 7%로 집계됐으며, 대부분 랜섬웨어를 유포했던 것으로 드러났다.
인터넷 뱅킹 위장한 파밍 악성코드 기승
이외에도 한 주간 개인정보와 금융정보를 탈취하는 공격 역시 잇따라 포착됐다. 이에 대해 빛스캔 측은 “개인금융정보 탈취 공격이 지속적으로 발견되고 있다”고 우려했다.
▲ Autoshut.exe 실행 화면(자료: 잉카인터넷)
지난 5일에는 인터넷뱅킹을 위장한 파밍 악성코드가 발견됐다. 이와 관련 잉카인터넷 측은 “인터넷뱅킹을 위장한 파밍 악성코드인 Autoshut.exe를 실행하면 일본어로 구성된 타이머가 실행돼 언뜻 보면 정상파일로 보일 수 있다”며 “하지만 특정 조건이 만족될 경우 C:\3lpx7x7t13\Ruyonfn.exe 파일을 생성 및 실행시키고, 이 파일로 파밍 동작을 수행한다”고 밝혔다.
생성하는 폴더명과 파일명은 모두 임의의 문자이며, 파밍 악성코드의 악성동작은 윈도우 부팅 시마다 자동 실행되기 위해 레지스트리에 등록하고, DNS Client 서비스 메모리를 변조한다는 게 잉카인터넷 측의 설명이다.
토렌토 통해 악성코드 유포
한 주간 불법으로 영화를 다운로드 받을 수 있는 토렌토 사이트를 통해서도 악성코드가 유포된 정황이 발견됐다.
▲ 압축파일 유포사례(자료: 잉카인터넷)
발견된 악성파일은 영화 ‘마션’을 사칭한 ‘마션[자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe’ 악성파일이며, C&C와 백도어 등의 악성동작을 수행하는 것으로 분석됐다.
악성코드 유포방식과 관련해 잉카인터넷 측은 “토렌토 사이트를 통해 유포되는 악성파일은 업로드된 파일의 확장자를 수정하거나, 압축파일 업로드를 통한 유포, 도움말 파일(.chm)을 통한 유포, 화면보호기 파일(.scr)을 통한 유포 등 다양하다”며 “1차적으로 다운받은 파일의 확장자를 잘 확인한다면 이러한 위협으로부터 방지할 수 있다”고 설명했다. 또한, 토렌트를 이용한 악성코드 감염 유도는 대부분 불법 사이트에 국한되어 있기 때문에 합법적인 경로를 통해 정상적인 콘텐츠를 이용할 것을 주문했다.
호스팅 업체 노린 공격 주의
지난 3일에는 특정 대학교에서 운영중인 대학원, XXX아트 심포지엄, 게임 등의 웹사이트 통한 악성코드 유포 정황이 발견됐다.
이에 대해 제로서트 측은 “특정 호스팅 업체 해킹으로 인해 서비스를 받는 모든 홈페이지가 악성코드 유포에 악용될 수 있다”며 “호스팅 업체 및 워드프레스 기반 홈페이지 관리자는 홈페이지 이상 유무와 워드프레스 업데이트 유무를 확인할 것”을 당부했다.
광고배너에 악성링크 삽입
2월 1주와 2주차에는 광고배너에 악성링크를 삽입해 다단계로 연결되는 공격 방식과 클라우드 서비스를 이용하는 웹사이트를 타깃으로 C&C 서버와 공격코드 유포지로 활용하는 공격이 기승을 부렸다.
이에 대해 빛스캔 측은 “광고배너를 통한 대량 악성코드 유포가 3주 연속으로 발견됐으며, 언론사, 쥬얼리샵, 파일공유(P2P), 여행사 사이트 등 클라우드 서비스를 이용하는 웹사이트를 악성코드 유포지로 활용했다”고 밝혔다.
보안 허술한 중소기업 집중 공격
또한 2월 1주차에는 보안이 허술한 중소기업을 타깃으로 한 사이버공격도 잇따라 발견됐다. 특히, 이번에 발견된 공격은 평일 시간대에 악성코드가 집중적으로 활동한 정황이 포착됐다.
이와 관련 빛스캔 측은 “중소기업 사이트 10여곳에서 평일 시간대에 악성코드가 집중적으로 활동한 정황이 포착됐다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
