.gif)
신종 랜섬웨어 라다만트, 한글 버전 상륙으로 위험 고조
연말 노린 파밍용 악성코드 대량 유포...군, 공공기관 노린 악성링크도 포착
중요정보 관리 솔루션 제작업체 줄줄이 해킹...유포지와 C&C서버로 악용
[보안뉴스 김경애] 한 주간 신종 랜섬웨어 라다만트(Radamant)의 한글 버전이 국내에 상륙해 큰 파장을 일으켰으며, 연말연시를 맞아 파밍용 악성코드가 활개를 치고 있다. 게다가 그룹웨어와 경영정보 시스템과 같이 기업에서 중요한 업무를 관리하는 솔루션 소프트웨어 제작업체가 연이어 해킹돼 악성코드 유포지와 C&C 서버로 악용되는 등 세밑을 맞은 국내 인터넷 환경이 뒤숭숭하다.
▲신종 랜섬웨어 라다만트에 감염돼 생성된 DirectX.exe 악성파일 화면(출처: 벌새 블로그)
신종 랜섬웨어에 국내 웹사이트 줄줄이 피습
먼저 한 주간 랜섬웨어가 기승을 부렸다. 지난 28일에는 최신 신종 랜섬웨어인 라다만트가 국내에서 발견됐다. 라다만트는 12월 경 처음 등장한 신종 랜섬웨어로 한국어를 지원하는 페이지를 제공하고 있으며, 국내에서는 크리스마스 연휴동안 유포됐다.
이와 관련 보안전문 파워블로거 울지않는벌새(이하 벌새)는 “라다만트 랜섬웨어의 특징은 클리앙 커뮤니티를 통해 유포됐던 크립토락커 랜섬웨어와 유사하게 파일 암호화를 진행한 후, 한국어 페이지를 제공하고 있다는 점”이라며 “BIN 파일 확장명을 가진 악성파일을 자동으로 실행해 가상 환경(Anti-VM) 여부를 체크한 다음 악성 파일을 생성한다”고 밝혔다.
자가 복제 방식으로 생성된 DirectX.exe 악성 파일은 폴더 옵션의 ‘보호된 운영 체제 파일 숨기기(권장)’ 체크 해제와 숨김 파일, 폴더 및 드라이브 표시 항목에 체크하지 않을 경우 파일 탐색기를 통해 찾을 수 없도록 제작되어 있다.
특히, 파일 암호화 대상 확장명 중에 한글문서 파일(.hwp), 알집 압축 파일(.alz)이 포함돼 국내 사용자들의 대량 감염을 목적으로 한 것으로 파악된다.
.jpg)
▲지난 28일 랜섬웨어가 유포된 한국자동차XX회 논문지 사이트 화면
같은 날 한국자동차XX회 논문지 사이트에서도 랜섬웨어 유포가 포착됐다. 이와 관련 하우리 최상명 CERT실장은 “논문지 사이트 이용자 입장에서는 힘들게 쓴 논문을 포기하기란 쉽지 않아 랜섬웨어에 감염되면 돈을 지불할 수 밖에 없을 것”이라며, “랜섬웨어 제작자는 바로 이점을 노리고 지능적으로 랜섬웨어를 유포하고 있다”고 분석했다. 게다가 RSA-4096 비트로 암호화 강도를 높여 파일 복구도 쉽지 않은 것으로 드러났다.
이보다 앞서 지난 21일에도 테슬라의 최신 변종이 포착되는 등 랜섬웨어가 갈수록 활개를 치는 양상이다. 특히, 변종 랜섬웨어의 경우 바이러스토탈을 통한 전 세계 백신의 진단 결과, 시그니처 기반인 백신의 한계와 랜섬웨어 유포에 활용되고 있는 제로데이 취약점 등으로 인해 제대로 탐지하지 못하는 사례가 많은 것으로 분석됐다.
덧붙여 최상명 실장은 “구글의 투명성 보고서에 따르면 2015년 한해 동안 대한민국 약 200만개 사이트 중 2%의 사이트가 악성코드를 유포하는 것으로 조사됐다”며, “우리나라의 2% 사이트 방문시 파밍, 랜섬웨어 등 악성코드에 감염되는 것”이라고 지적했다. 이렇듯 심각한 상황임에도 웹사이트 관리는 여전히 허술하다는 얘기다.
날씨 배너 통해 파밍용 악성코드 대량 유포
또한, 연말에 금융정보와 개인정보를 노린 파밍용 악성코드도 기승을 부리고 있다. 지난 29일에는 날씨 배너를 통해 수많은 웹사이트에서 파밍 악성코드가 유포된 정황이 포착됐다. 이와 관련 최상명 실장은 “특정 날씨 배너에 악성코드가 삽입돼 해당 배너를 탑재한 수많은 사이트에서 파밍 악성코드를 동시에 유포하고 있다”며 이용자들의 주의를 당부했다.
▲지난 29일 파밍용 악성코드가 포착된 XX공기청정협회 사이트 화면
같은 날 XX공기청정협회와 XX푸드마켓미소 사이트에서도 금감원 팝업 창이 뜨는 파밍용 악성코드가 포착됐다. 보안전문가 Auditor Lee는 “XX컴퓨터판매업협동조합 사이트 공격자와 동일범으로 보인다”며, “XX컴퓨터판매업협동조합 사이트에 접속하면 XX푸드마켓미소 사이트로 넘어가 악성 바이너리를 내려받게 되며, 감염되면 가짜 금감원 팝업창이 뜬다”고 설명했다.
12월 4째주와 5째주에도 모바일을 타깃으로 한 카드정보와 공인인증서(PC) 탈취가 포착되는 등 개인금융정보가 지속적으로 유출되고 있다. 이외에 지난 27일 포털사이트 네이트를 사칭한 피싱사이트에서 악성코드가 유포된 정황이 발견됐다.
경영정보 시스템 관리 솔루션 업체 줄줄이 해킹
한 주간 악성링크가 삽입된 웹사이트도 줄줄이 발견됐다. 29일에는 경영XX시스템과 XX대학교 아동관련학과 웹사이트에서 악성링크가 탐지됐다.
▲지난 29일 악성링크가 삽입된 경영XX시스템 사이트 화면
이에 대해 Auditor Lee는 “공격자는 악성링크 탐지를 우회하기 위해 실제 환경에서만 작동하도록 했다”며 “악성링크는 도박사이트 접속을 유도하고 있으며, 악성코드는 도박사이트에 접속하려는 PC에 설치된다”고 분석했다.
특히, 기업에서 많이 사용하는 경영정보 시스템 관리 솔루션 업체들이 줄줄이 해킹돼 2차 피해가 우려되고 있다. 이와 관련 최상명 실장은 “최근 그룹웨어와 경영정보 시스템과 같이 기업의 중요업무를 관리하는 솔루션 소프트웨어 제작업체가 다수 해킹돼 악성코드 유포지와 C&C 서버 등으로 악용되고 있다”며 “기업정보 관리 소프트웨어 업체가 해킹을 당하면 해당 소프트웨어를 사용하는 고객 기업들까지 2차, 3차 추가적으로 해킹 공격을 당할 수 있어 관리 소프트웨어 업체들의 보안 강화가 요구된다”고 당부했다.
군 관련 등 공공기관 노린 악성코드 ‘활개’
지난 24일에는 XX공항소방대 사이트에서 악성코드가 발견됐다. 이를 본지에 제보한 닉네임 메가톤은 “해당 사이트 관계자를 노린 타깃형 공격으로 보인다”며 “자바스크립트를 삽입해 놓았지만 현재 연결은 하지 않고 있으며, 공격자가 웹서버 관리자 권한을 탈취해 악성코드 유포지이자 경유지로 악용하고 있다”고 분석했다. 해당 사이트는 여러 번 해킹당한 경험이 있는 보안이 취약한 웹호스팅 업체를 이용하고 있는 것으로 알려졌다.
▲지난 28일 악성코드가 포착된 대한민국XX동지회 사이트 화면
이어 메가톤은 “28일에는 대한민국XX동지회 사이트에 악성코드를 유포하는 정황도 포착됐다”며 “최근 군과 정보통신관련 협회에서 악성링크가 줄줄이 탐지되고 있다”고 밝혔다.
멀티 공격으로 국내 웹사이트 ‘몸살’
이어 12월 5주차에는 XX미술재단, XX투어, XXXX골프장 등에서 악성코드가 줄줄이 유포되는 등 악성코드 활동과 신규 경유지가 지난 주에 비해 증가한 것으로 드러났다.
이에 대해 빛스캔 측은 “지난 주까지 활동했던 시간차 공격이 스윗오렌지 킷과 CK 익스플로잇 킷으로 활용되는 멀티스테이지 공격 방식으로 변화했다”며 “중간 규모의 멀웨어넷( MalwareNet)과 호스팅 서버를 활용한 100여개의 대량 악성코드 감염도 포착됐는데, 다음 주까지도 이번 주와 비슷한 규모와 형태의 공격이 예상된다”고 밝혔다.
파일공유 사이트, 2개월간 악성링크 방치
지난 10월부터는 파일공유(P2P) 사이트에서 404.html 관련 악성링크가 2개월이 지난 현재까지도 지속적으로 포착되고 있다.
▲2개여월간 악성링크가 방치된 파일공유(P2P) 사이트 화면
빛스캔에 따르면 최근에는 탐지 회피를 위한 레퍼러 체크는 물론이고 1~2시간 사이에 하위링크가 빠르게 변경해 백신 및 차단장비를 우회하고 있다며, 최종 바이너리가 다운로드 되는 사이트도 계속 바뀌고 있다고 밝혔다. 특히, 12월 4주차에만 해당 악성링크가 약 23번이나 변경된 것으로 분석됐다.
12월 4째주는 주요 언론사 웹툰 페이지에서 악성링크가 동시에 삽입된 정황이 포착됐으며, XX일보 XX경제 웹툰 사이트, XX락, XX민트 등에서도 악성코드가 유포됐다.
신규 경유지 증가와 주기적인 하위링크 변경을 통해 탐지를 회피함에 따라 파급력이 커지고 있다는 게 빛스캔 측의 설명이다.
경쟁심리까지 이어진 디페이스도 줄줄이
지난 29일에는 XX디지웍스와 X-XXX특허지원센터 사이트가 디페이스 해킹을 당한 정황이 포착됐다. 이에 대해 Auditor Lee는 “X-XXX특허지원센터 사이트의 경우 지난 25일에도 디페이스 해킹을 당했는데, 조치된 후에 다시 공격당했다”며 “근본적인 취약점 해결이 필요하다”고 지적했다.
▲지난 29일 디페이스 해킹이 포착된 XX디지웍스 사이트 화면
이보다 앞서 지난 23일에는 방글라데시의 두 해커그룹이 경쟁적으로 국내 웹사이트를 타깃으로 한 디페이스 공격을 진행했다. 이에 대해 최상명 실장은 “지금은 해당 사이트가 복구됐지만 방글라데시 해커그룹 2곳이 웹사이트 변조를 지속적으로 시도하고 있어 주의가 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
연말 노린 파밍용 악성코드 대량 유포...군, 공공기관 노린 악성링크도 포착
중요정보 관리 솔루션 제작업체 줄줄이 해킹...유포지와 C&C서버로 악용
[보안뉴스 김경애] 한 주간 신종 랜섬웨어 라다만트(Radamant)의 한글 버전이 국내에 상륙해 큰 파장을 일으켰으며, 연말연시를 맞아 파밍용 악성코드가 활개를 치고 있다. 게다가 그룹웨어와 경영정보 시스템과 같이 기업에서 중요한 업무를 관리하는 솔루션 소프트웨어 제작업체가 연이어 해킹돼 악성코드 유포지와 C&C 서버로 악용되는 등 세밑을 맞은 국내 인터넷 환경이 뒤숭숭하다.
▲신종 랜섬웨어 라다만트에 감염돼 생성된 DirectX.exe 악성파일 화면(출처: 벌새 블로그)
신종 랜섬웨어에 국내 웹사이트 줄줄이 피습
먼저 한 주간 랜섬웨어가 기승을 부렸다. 지난 28일에는 최신 신종 랜섬웨어인 라다만트가 국내에서 발견됐다. 라다만트는 12월 경 처음 등장한 신종 랜섬웨어로 한국어를 지원하는 페이지를 제공하고 있으며, 국내에서는 크리스마스 연휴동안 유포됐다.
이와 관련 보안전문 파워블로거 울지않는벌새(이하 벌새)는 “라다만트 랜섬웨어의 특징은 클리앙 커뮤니티를 통해 유포됐던 크립토락커 랜섬웨어와 유사하게 파일 암호화를 진행한 후, 한국어 페이지를 제공하고 있다는 점”이라며 “BIN 파일 확장명을 가진 악성파일을 자동으로 실행해 가상 환경(Anti-VM) 여부를 체크한 다음 악성 파일을 생성한다”고 밝혔다.
자가 복제 방식으로 생성된 DirectX.exe 악성 파일은 폴더 옵션의 ‘보호된 운영 체제 파일 숨기기(권장)’ 체크 해제와 숨김 파일, 폴더 및 드라이브 표시 항목에 체크하지 않을 경우 파일 탐색기를 통해 찾을 수 없도록 제작되어 있다.
특히, 파일 암호화 대상 확장명 중에 한글문서 파일(.hwp), 알집 압축 파일(.alz)이 포함돼 국내 사용자들의 대량 감염을 목적으로 한 것으로 파악된다.
▲지난 28일 랜섬웨어가 유포된 한국자동차XX회 논문지 사이트 화면
같은 날 한국자동차XX회 논문지 사이트에서도 랜섬웨어 유포가 포착됐다. 이와 관련 하우리 최상명 CERT실장은 “논문지 사이트 이용자 입장에서는 힘들게 쓴 논문을 포기하기란 쉽지 않아 랜섬웨어에 감염되면 돈을 지불할 수 밖에 없을 것”이라며, “랜섬웨어 제작자는 바로 이점을 노리고 지능적으로 랜섬웨어를 유포하고 있다”고 분석했다. 게다가 RSA-4096 비트로 암호화 강도를 높여 파일 복구도 쉽지 않은 것으로 드러났다.
이보다 앞서 지난 21일에도 테슬라의 최신 변종이 포착되는 등 랜섬웨어가 갈수록 활개를 치는 양상이다. 특히, 변종 랜섬웨어의 경우 바이러스토탈을 통한 전 세계 백신의 진단 결과, 시그니처 기반인 백신의 한계와 랜섬웨어 유포에 활용되고 있는 제로데이 취약점 등으로 인해 제대로 탐지하지 못하는 사례가 많은 것으로 분석됐다.
덧붙여 최상명 실장은 “구글의 투명성 보고서에 따르면 2015년 한해 동안 대한민국 약 200만개 사이트 중 2%의 사이트가 악성코드를 유포하는 것으로 조사됐다”며, “우리나라의 2% 사이트 방문시 파밍, 랜섬웨어 등 악성코드에 감염되는 것”이라고 지적했다. 이렇듯 심각한 상황임에도 웹사이트 관리는 여전히 허술하다는 얘기다.
날씨 배너 통해 파밍용 악성코드 대량 유포
또한, 연말에 금융정보와 개인정보를 노린 파밍용 악성코드도 기승을 부리고 있다. 지난 29일에는 날씨 배너를 통해 수많은 웹사이트에서 파밍 악성코드가 유포된 정황이 포착됐다. 이와 관련 최상명 실장은 “특정 날씨 배너에 악성코드가 삽입돼 해당 배너를 탑재한 수많은 사이트에서 파밍 악성코드를 동시에 유포하고 있다”며 이용자들의 주의를 당부했다.
▲지난 29일 파밍용 악성코드가 포착된 XX공기청정협회 사이트 화면
같은 날 XX공기청정협회와 XX푸드마켓미소 사이트에서도 금감원 팝업 창이 뜨는 파밍용 악성코드가 포착됐다. 보안전문가 Auditor Lee는 “XX컴퓨터판매업협동조합 사이트 공격자와 동일범으로 보인다”며, “XX컴퓨터판매업협동조합 사이트에 접속하면 XX푸드마켓미소 사이트로 넘어가 악성 바이너리를 내려받게 되며, 감염되면 가짜 금감원 팝업창이 뜬다”고 설명했다.
12월 4째주와 5째주에도 모바일을 타깃으로 한 카드정보와 공인인증서(PC) 탈취가 포착되는 등 개인금융정보가 지속적으로 유출되고 있다. 이외에 지난 27일 포털사이트 네이트를 사칭한 피싱사이트에서 악성코드가 유포된 정황이 발견됐다.
경영정보 시스템 관리 솔루션 업체 줄줄이 해킹
한 주간 악성링크가 삽입된 웹사이트도 줄줄이 발견됐다. 29일에는 경영XX시스템과 XX대학교 아동관련학과 웹사이트에서 악성링크가 탐지됐다.
▲지난 29일 악성링크가 삽입된 경영XX시스템 사이트 화면
이에 대해 Auditor Lee는 “공격자는 악성링크 탐지를 우회하기 위해 실제 환경에서만 작동하도록 했다”며 “악성링크는 도박사이트 접속을 유도하고 있으며, 악성코드는 도박사이트에 접속하려는 PC에 설치된다”고 분석했다.
특히, 기업에서 많이 사용하는 경영정보 시스템 관리 솔루션 업체들이 줄줄이 해킹돼 2차 피해가 우려되고 있다. 이와 관련 최상명 실장은 “최근 그룹웨어와 경영정보 시스템과 같이 기업의 중요업무를 관리하는 솔루션 소프트웨어 제작업체가 다수 해킹돼 악성코드 유포지와 C&C 서버 등으로 악용되고 있다”며 “기업정보 관리 소프트웨어 업체가 해킹을 당하면 해당 소프트웨어를 사용하는 고객 기업들까지 2차, 3차 추가적으로 해킹 공격을 당할 수 있어 관리 소프트웨어 업체들의 보안 강화가 요구된다”고 당부했다.
군 관련 등 공공기관 노린 악성코드 ‘활개’
지난 24일에는 XX공항소방대 사이트에서 악성코드가 발견됐다. 이를 본지에 제보한 닉네임 메가톤은 “해당 사이트 관계자를 노린 타깃형 공격으로 보인다”며 “자바스크립트를 삽입해 놓았지만 현재 연결은 하지 않고 있으며, 공격자가 웹서버 관리자 권한을 탈취해 악성코드 유포지이자 경유지로 악용하고 있다”고 분석했다. 해당 사이트는 여러 번 해킹당한 경험이 있는 보안이 취약한 웹호스팅 업체를 이용하고 있는 것으로 알려졌다.
▲지난 28일 악성코드가 포착된 대한민국XX동지회 사이트 화면
이어 메가톤은 “28일에는 대한민국XX동지회 사이트에 악성코드를 유포하는 정황도 포착됐다”며 “최근 군과 정보통신관련 협회에서 악성링크가 줄줄이 탐지되고 있다”고 밝혔다.
멀티 공격으로 국내 웹사이트 ‘몸살’
이어 12월 5주차에는 XX미술재단, XX투어, XXXX골프장 등에서 악성코드가 줄줄이 유포되는 등 악성코드 활동과 신규 경유지가 지난 주에 비해 증가한 것으로 드러났다.
이에 대해 빛스캔 측은 “지난 주까지 활동했던 시간차 공격이 스윗오렌지 킷과 CK 익스플로잇 킷으로 활용되는 멀티스테이지 공격 방식으로 변화했다”며 “중간 규모의 멀웨어넷( MalwareNet)과 호스팅 서버를 활용한 100여개의 대량 악성코드 감염도 포착됐는데, 다음 주까지도 이번 주와 비슷한 규모와 형태의 공격이 예상된다”고 밝혔다.
파일공유 사이트, 2개월간 악성링크 방치
지난 10월부터는 파일공유(P2P) 사이트에서 404.html 관련 악성링크가 2개월이 지난 현재까지도 지속적으로 포착되고 있다.
▲2개여월간 악성링크가 방치된 파일공유(P2P) 사이트 화면
빛스캔에 따르면 최근에는 탐지 회피를 위한 레퍼러 체크는 물론이고 1~2시간 사이에 하위링크가 빠르게 변경해 백신 및 차단장비를 우회하고 있다며, 최종 바이너리가 다운로드 되는 사이트도 계속 바뀌고 있다고 밝혔다. 특히, 12월 4주차에만 해당 악성링크가 약 23번이나 변경된 것으로 분석됐다.
12월 4째주는 주요 언론사 웹툰 페이지에서 악성링크가 동시에 삽입된 정황이 포착됐으며, XX일보 XX경제 웹툰 사이트, XX락, XX민트 등에서도 악성코드가 유포됐다.
신규 경유지 증가와 주기적인 하위링크 변경을 통해 탐지를 회피함에 따라 파급력이 커지고 있다는 게 빛스캔 측의 설명이다.
경쟁심리까지 이어진 디페이스도 줄줄이
지난 29일에는 XX디지웍스와 X-XXX특허지원센터 사이트가 디페이스 해킹을 당한 정황이 포착됐다. 이에 대해 Auditor Lee는 “X-XXX특허지원센터 사이트의 경우 지난 25일에도 디페이스 해킹을 당했는데, 조치된 후에 다시 공격당했다”며 “근본적인 취약점 해결이 필요하다”고 지적했다.
▲지난 29일 디페이스 해킹이 포착된 XX디지웍스 사이트 화면
이보다 앞서 지난 23일에는 방글라데시의 두 해커그룹이 경쟁적으로 국내 웹사이트를 타깃으로 한 디페이스 공격을 진행했다. 이에 대해 최상명 실장은 “지금은 해당 사이트가 복구됐지만 방글라데시 해커그룹 2곳이 웹사이트 변조를 지속적으로 시도하고 있어 주의가 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
