2013년 악명 높았던 멀웨어, 최근 부활해 왕성한 활동 시작
폴란드에서 주로 탐지돼... 표적 공격은 브라질 제일 많아
[보안뉴스 문가용] 2013년 보안 담당자들의 골치를 썩였던 멀웨어 중 나이마임(Nymaim)이라는 것이 있었다. 그 나이마임이 부활하여 작년에 비해 활동량을 전 세계적으로 63%나 늘렸다고 ESET 연구팀이 경고했다. “2016년 전반기만으로 이미 2015년 한 해 동안 탐지된 나이마임 멀웨어의 수를 넘어섰습니다.” 국가별로 분석한 결과 폴란드가 54%로 가장 많은 공격을 받았고, 그 뒤를 독일(16%), 미국(12%)이 이었다.
▲ 슬슬 일어나볼까...
새롭게 등장한 나이마임, 이전 버전에 비해 뭐가 달라졌을까? 이전 나이마임은 드라이브 바이 다운로드 기법을 사용해 시스템 및 네트워크를 감염시켰다. 하지만 이번 나이마임은 스피어피싱을 통해 퍼지고 있다. 특히 MS 워드 문서인 .doc 파일을 주로 활용한다고 ESET은 설명했다. “악성 매크로와 소셜 엔지니어링 기법을 사용해 사용자를 공략하는 것이죠.”
문제의 악성문서를 열면 해독이 어려운 기호로 된 텍스트들이 나오고, 곧이어 “호환이 되는 모드에서 문서 활성화(Enable Content to run in compatibility mode)”라는 메시지가 뜬다. 이 메시지는 기존 MS 워드의 공식 경고 바(warning bar)와 매우 흡사하게 생겼다. 사용자가 의심하기 힘들도록 한 것이다.
ESET이 탐지한 악성 매크로는 VBA/TrojanDownloader.Agent.BCX로, 나이마임의 페이로드를 다운로드해서 임시 폴더인 %temp%에 새로운 실행파일 형태로 저장하고 실행한다. ESET 전문가들에 의하면 다운로드는 한 번 더 이루어지는데, 두 번째 다운로드되는 페이로드는 주로 파일을 암호화하는, 랜섬웨어와 유사한 기능을 수행하는 것으로 조사됐다. ESET이 분석한 샘플은 올해 5월 17일에 만들어진 것으로 보이며 악성 문서 자체는 5월 18일에 생성된 것으로 나타났다.
나이마임 멀웨어가 표적 공격에 사용되기도 하는데, 이것이 가장 두드러지는 게 현재 브라질이라고 한다. 특히 금융기관이 나이마임의 집중 포화를 받고 있는데, 아직은 그다지 위협적인 수준은 아니다. “브라질에서 두드러지고 있긴 하지만 공격의 빈도수 자체가 높은 건 아닙니다.”
나이마임 멀웨어가 전 세계적인 증가 추세를 보이고 있는 가운데 ESET은 “방화벽에 특정 IP들을 블랙리스팅시키고 프록시에 URL들을 블랙리스팅시켜서 1차적인 방어를 할 수 있다”고 설명한다. “또한 엔드포인트에 안티멀웨어 보호 장치를 심는 것도 효과를 볼 수 있습니다. 물론 이런 방어용 솔루션 모두 업데이트가 제대로 되어 있어야 하겠지요.”
한편, 지난 4월 IBM 시큐리티는 나이마임과 고지(Gozi)라는 멀웨어를 동시에 사용하는 사이버 공격을 탐지한 바 있다. 당시 IBM 시큐리티 측은 해당 멀웨어를 고즈님(GozNym)이라고 명명했고, 고즈님은 주로 유럽의 사용자들을 노렸다가 4월말쯤부터 미국의 대형 금융기관을 노리기 시작했다.
[국제부 문가용 기자(globoan@boannews.com)]
폴란드에서 주로 탐지돼... 표적 공격은 브라질 제일 많아
[보안뉴스 문가용] 2013년 보안 담당자들의 골치를 썩였던 멀웨어 중 나이마임(Nymaim)이라는 것이 있었다. 그 나이마임이 부활하여 작년에 비해 활동량을 전 세계적으로 63%나 늘렸다고 ESET 연구팀이 경고했다. “2016년 전반기만으로 이미 2015년 한 해 동안 탐지된 나이마임 멀웨어의 수를 넘어섰습니다.” 국가별로 분석한 결과 폴란드가 54%로 가장 많은 공격을 받았고, 그 뒤를 독일(16%), 미국(12%)이 이었다.
▲ 슬슬 일어나볼까...
새롭게 등장한 나이마임, 이전 버전에 비해 뭐가 달라졌을까? 이전 나이마임은 드라이브 바이 다운로드 기법을 사용해 시스템 및 네트워크를 감염시켰다. 하지만 이번 나이마임은 스피어피싱을 통해 퍼지고 있다. 특히 MS 워드 문서인 .doc 파일을 주로 활용한다고 ESET은 설명했다. “악성 매크로와 소셜 엔지니어링 기법을 사용해 사용자를 공략하는 것이죠.”
문제의 악성문서를 열면 해독이 어려운 기호로 된 텍스트들이 나오고, 곧이어 “호환이 되는 모드에서 문서 활성화(Enable Content to run in compatibility mode)”라는 메시지가 뜬다. 이 메시지는 기존 MS 워드의 공식 경고 바(warning bar)와 매우 흡사하게 생겼다. 사용자가 의심하기 힘들도록 한 것이다.
ESET이 탐지한 악성 매크로는 VBA/TrojanDownloader.Agent.BCX로, 나이마임의 페이로드를 다운로드해서 임시 폴더인 %temp%에 새로운 실행파일 형태로 저장하고 실행한다. ESET 전문가들에 의하면 다운로드는 한 번 더 이루어지는데, 두 번째 다운로드되는 페이로드는 주로 파일을 암호화하는, 랜섬웨어와 유사한 기능을 수행하는 것으로 조사됐다. ESET이 분석한 샘플은 올해 5월 17일에 만들어진 것으로 보이며 악성 문서 자체는 5월 18일에 생성된 것으로 나타났다.
나이마임 멀웨어가 표적 공격에 사용되기도 하는데, 이것이 가장 두드러지는 게 현재 브라질이라고 한다. 특히 금융기관이 나이마임의 집중 포화를 받고 있는데, 아직은 그다지 위협적인 수준은 아니다. “브라질에서 두드러지고 있긴 하지만 공격의 빈도수 자체가 높은 건 아닙니다.”
나이마임 멀웨어가 전 세계적인 증가 추세를 보이고 있는 가운데 ESET은 “방화벽에 특정 IP들을 블랙리스팅시키고 프록시에 URL들을 블랙리스팅시켜서 1차적인 방어를 할 수 있다”고 설명한다. “또한 엔드포인트에 안티멀웨어 보호 장치를 심는 것도 효과를 볼 수 있습니다. 물론 이런 방어용 솔루션 모두 업데이트가 제대로 되어 있어야 하겠지요.”
한편, 지난 4월 IBM 시큐리티는 나이마임과 고지(Gozi)라는 멀웨어를 동시에 사용하는 사이버 공격을 탐지한 바 있다. 당시 IBM 시큐리티 측은 해당 멀웨어를 고즈님(GozNym)이라고 명명했고, 고즈님은 주로 유럽의 사용자들을 노렸다가 4월말쯤부터 미국의 대형 금융기관을 노리기 시작했다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
