.gif)
연초부터 XX시 버스 정보시스템, XX고속, 코레일 XX 등 줄줄이 악성링크 포착
자바 스크립트로 개발된 랜섬웨어 변종 랜섬32 발견...멀티 공격 증가
[보안뉴스 김경애] 새해 초 교통관련 사이트를 노린 악성코드가 기승을 부린 데다가 자바 스크립트로 개발된 랜섬웨어 변종인 Ransom32까지 발견돼 이용자들의 주의가 요구된다.
.jpg)
신년, 명절 노린 교통관련 사이트 공격 ‘기승’
지난 4일에는 XX시 버스 정보시스템, XX고속, 코레일 XX 등 교통관련 사이트에서 악성링크가 줄줄이 포착됐다.
▲ 악성링크(노란색 표기)가 삽입된 XX시 버스 정보시스템
이를 본지에 제보한 메가톤(닉네임)은 “신년에 일출 인파 등 유동인구가 많은 것을 노리고 교통관련 사이트에 악성코드를 심는 등 계절적인 공격을 감행하고 있다”며 “악성코드 삽입으로 인해 일반 이용자들의 피해가 클 것으로 예상된다. 특히, 다음 달에는 설날 명절도 포함돼 있어 교통관련 사이트의 예약 시스템을 노릴 수 있다”고 우려했다.
보안전문가 Auditor Lee는 “XX시 버스정보관리 시스템의 경우 중국사이트로 연결시키는 악성링크가 삽입됐다”며 “관리자 로그인 페이지의 경우 로그인 정보가 암호화 조치 없이 평문으로 전송된다”고 말했다.
자바 스크립트로 개발된 랜섬웨어 변종 Ransom32 발견
지난해 12월 29일에는 자바 스크립트 언어로 개발된 랜섬웨어 변종인 Ransom32가 해외에서 최초로 발견됐다.
▲ Ransom32에 감염된 화면(출처: Security Affairs)
Ransom32는 서비스 형태로 운영된다. 토르(Tor) 네트워크를 통해 숨겨진 서버에 접근이 가능하고, 회원가입을 통해 랜섬웨어를 유포할 수 있다. 회원가입한 공격자들은 해당 서비스를 이용해 랜섬웨어를 만들어 배포하는 형식이다.
알약 블로그 측은 “Ransom32가 일단 설치 및 실행되면, 토르를 통해 C&C서버로 연결되며, 확장자 파일들을 암호화한다”고 밝혔다.
특히, 공격자는 프로그래밍 언어와 같이 시스템 통제와 접근이 가능한 NW.js 프레임워크를 악용하고 있는 것으로 드러났다.
이와 관련 시큐리티플러스 박형근 대표는 “NW.js 프레임워크는 프로그래밍 언어에서 할 수 있는 일들을 대부분 할 수 있다”며 “게다가 자바 기반이라 플랫폼과 무관하게 작용할 수 있어 심각한 영향을 끼친다”고 설명했다.
멀티 스테이지 공격 기승
한 주 동안 여러 악성기능을 조합한 멀티 공격도 잇따라 포착됐다. 지난 4일에는 XXX모바일 페스티벌 사이트에서 악성코드가 발견됐다.
▲ 지난 4일 악성코드가 삽입된 XXX모바일 페스티벌 사이트 화면
이에 대해 메가톤은 “해당 사이트의 경우 관리자 권한이 탈취 당해 블랙홀 익스플로잇 킷(Blackhole Exploit Kit)과 레드킷 익스플로잇 킷(RedKit Exploit kit)이 삽입돼 있었다”고 말했다.
지난해 12월 30일에는 XX컴퓨터판매업협동조합 사이트에서 악성코드가 발견됐다. 해당 사이트의 경우 공격자가 관리자 권한을 탈취해 APK 악성 파일을 내려 받도록 유도하고 있으며, 그간 반복적으로 악성코드가 삽입된 것으로 분석됐다.
이처럼 12월 5주차에는 신규 경유지가 증가했으며, CK 익스플로잇 킷과 스윗오렌지 킷 등이 결합한 멀티스테이지 공격 형태가 등장했다. 또한, 호스팅 서버를 통한 대량 악성코드가 기승을 부렸으며, 약 100여개에 달하는 중소규모의 멀웨어넷(MalwareNet) 활동이 포착됐다.
XX미술재단, XXXX골프장 사이트도 12월 5주에 악성코드가 유포됐으며, 여행 사이트 XX투어도 12월 27일 악성코드의 경유지로 활용됐다.
▲ 지난해 12월 27일 악성코드 경유지로 활용된 XX투어 사이트 화면
이와 관련 빛스캔 측은 “경유지로 활용된 링크는 약 39개의 사이트에 삽입됐으며, 스윗오렌지 킷과 CK 익스플로잇 킷을 동시에 활용하는 멀티 스테이지 형태의 공격이 자주 발견됐다”고 밝혔다.
이어 빛스캔 측은 “해당 악성링크는 다시 공격에 활용될 수 있으며 다른 제휴 페이지에서도 동시다발적으로 일어날 수 있다”며 “작년에도 XX투어 공식 홈페이지에서 발견된 악성링크가 오픈마켓에서도 동일하게 활용 된 바 있다”고 덧붙였다.
교육분야 악성링크 여전히 ‘활개’
지난 4일에는 XX자격협회 사이트에서 악성코드 삽입이 포착됐다. 이를 발견한 메가톤은 “공격자가 소스 변경을 하지 못하도록 암호화하고, 공격자가 SSH 서버를 구동할 수 있는 권한과 파일을 업로드 할 수 있는 FTP 권한을 탈취했다”며 “공격자가 악성파일을 업로드해 악성코드 유포지로 활용할 목적으로 악용한 것 같다”고 설명했다.
▲ 지난 3일 악성링크가 삽입된 XXX원격평생교육원 사이트 화면
지난 3일에는 XXX원격평생교육원 사이트에서 악성코드 삽입이 포착됐으며, 이보다 앞서 2일에는 기계제어, 자동화, 로봇, 시스템 분야의 국제학술대회 사이트 등록 페이지에서 악성링크가 발견되기도 했다.
이에 대해 Auditor Lee는 “해당 사이트는 2005년도 학술대회 개최 이후 사이트를 관리하지 않고 방치하면서 악성링크가 삽입된 것”이라며 관리 소홀의 문제를 지적했다.
이외에도 한 주간 언론사, 병원, 대학 등을 타깃으로 한 악성링크 삽입 공격이 들끓었다. 지난 1일에는 대량 모발이식 병원인 XX의원, XXX뉴스와 XX익스프레스, XX대학교에서 악성링크가 발견됐으며, XX경북뉴스 사이트에서는 금감원 팝업창이 뜨는 파밍용 악성코드가 유포됐다.
이에 대해 Auditor Lee는 “XX의원 사이트의 경우 js 모듈에 악성링크가 심어져 있었다”며, “XXX뉴스와 XX익스프레스, XX대학교 사이트는 악성코드 유포지로 연결되는 경유지로 악용됐으며, 악성코드 유포지로 연결돼 있다가 현재는 중간에 끊긴 상태”라고 밝혔다. 이와 함께 XX할인 사이트에서는 디페이스 해킹 징후가 포착됐다.
사설경마 도박사이트 운영 조직 검거
한 주간 사설경마 도박사이트도 기승을 부렸다. 이와 관련 중국 요년성 심양지역에서 사설경마 도박사이트를 운영한 2개 조직, 총12명이 검거됐다. 이 가운데 총책 김모(50세)씨 등 8명은 구속되고, 4명은 불구속 입건됐다.
.jpg)
▲ ‘월드레이스’ 도박사이트 운영 피의자 명단
.jpg)
▲ ‘코리아레이스’ 도박사이트 운영 피의자 명단
이와 관련 마산중부경찰서 측은 “이들 조직은 2014년 7월경부터 2015년 8월경까지 ‘코리아레이스’, ‘월드레이스’라는 불법사이트를 개설했다”며 “국내외에서 벌어지는 경마, 경정, 경륜, 일본경마에 배팅해 적중률에 따라 1.2%에서 300%까지의 배당금을 지급하는 방식으로 국내인 1,500여명으로부터 200억원의 돈을 받아 도박사이트를 운영한 것으로 확인됐다”고 밝혔다.
이들은 도박사이트 서버를 중국에 두고 도메인 주소를 수시로 변경했다. 게다가 자동발신전화 프로그램을 이용해 회원을 모집한 후, 회원들에게만 변경된 도메인주소를 알려주며 은밀하게 운영했다. 이들 중국내 숙소도 수시로 옮기고, 총책, 프로그래머, 대포통장 모집책, 신규회원 모집책, 고정회원 관리책, 사이트 관리책, 인출책 등으로 역할을 분담해 철저히 점조직 형태로 운영하는 방법으로 경찰의 추적을 피해왔던 것으로 드러났다.
[김경애 기자(boan3@boannews.com)]
자바 스크립트로 개발된 랜섬웨어 변종 랜섬32 발견...멀티 공격 증가
[보안뉴스 김경애] 새해 초 교통관련 사이트를 노린 악성코드가 기승을 부린 데다가 자바 스크립트로 개발된 랜섬웨어 변종인 Ransom32까지 발견돼 이용자들의 주의가 요구된다.
신년, 명절 노린 교통관련 사이트 공격 ‘기승’
지난 4일에는 XX시 버스 정보시스템, XX고속, 코레일 XX 등 교통관련 사이트에서 악성링크가 줄줄이 포착됐다.
▲ 악성링크(노란색 표기)가 삽입된 XX시 버스 정보시스템
이를 본지에 제보한 메가톤(닉네임)은 “신년에 일출 인파 등 유동인구가 많은 것을 노리고 교통관련 사이트에 악성코드를 심는 등 계절적인 공격을 감행하고 있다”며 “악성코드 삽입으로 인해 일반 이용자들의 피해가 클 것으로 예상된다. 특히, 다음 달에는 설날 명절도 포함돼 있어 교통관련 사이트의 예약 시스템을 노릴 수 있다”고 우려했다.
보안전문가 Auditor Lee는 “XX시 버스정보관리 시스템의 경우 중국사이트로 연결시키는 악성링크가 삽입됐다”며 “관리자 로그인 페이지의 경우 로그인 정보가 암호화 조치 없이 평문으로 전송된다”고 말했다.
자바 스크립트로 개발된 랜섬웨어 변종 Ransom32 발견
지난해 12월 29일에는 자바 스크립트 언어로 개발된 랜섬웨어 변종인 Ransom32가 해외에서 최초로 발견됐다.
▲ Ransom32에 감염된 화면(출처: Security Affairs)
Ransom32는 서비스 형태로 운영된다. 토르(Tor) 네트워크를 통해 숨겨진 서버에 접근이 가능하고, 회원가입을 통해 랜섬웨어를 유포할 수 있다. 회원가입한 공격자들은 해당 서비스를 이용해 랜섬웨어를 만들어 배포하는 형식이다.
알약 블로그 측은 “Ransom32가 일단 설치 및 실행되면, 토르를 통해 C&C서버로 연결되며, 확장자 파일들을 암호화한다”고 밝혔다.
특히, 공격자는 프로그래밍 언어와 같이 시스템 통제와 접근이 가능한 NW.js 프레임워크를 악용하고 있는 것으로 드러났다.
이와 관련 시큐리티플러스 박형근 대표는 “NW.js 프레임워크는 프로그래밍 언어에서 할 수 있는 일들을 대부분 할 수 있다”며 “게다가 자바 기반이라 플랫폼과 무관하게 작용할 수 있어 심각한 영향을 끼친다”고 설명했다.
멀티 스테이지 공격 기승
한 주 동안 여러 악성기능을 조합한 멀티 공격도 잇따라 포착됐다. 지난 4일에는 XXX모바일 페스티벌 사이트에서 악성코드가 발견됐다.
▲ 지난 4일 악성코드가 삽입된 XXX모바일 페스티벌 사이트 화면
이에 대해 메가톤은 “해당 사이트의 경우 관리자 권한이 탈취 당해 블랙홀 익스플로잇 킷(Blackhole Exploit Kit)과 레드킷 익스플로잇 킷(RedKit Exploit kit)이 삽입돼 있었다”고 말했다.
지난해 12월 30일에는 XX컴퓨터판매업협동조합 사이트에서 악성코드가 발견됐다. 해당 사이트의 경우 공격자가 관리자 권한을 탈취해 APK 악성 파일을 내려 받도록 유도하고 있으며, 그간 반복적으로 악성코드가 삽입된 것으로 분석됐다.
이처럼 12월 5주차에는 신규 경유지가 증가했으며, CK 익스플로잇 킷과 스윗오렌지 킷 등이 결합한 멀티스테이지 공격 형태가 등장했다. 또한, 호스팅 서버를 통한 대량 악성코드가 기승을 부렸으며, 약 100여개에 달하는 중소규모의 멀웨어넷(MalwareNet) 활동이 포착됐다.
XX미술재단, XXXX골프장 사이트도 12월 5주에 악성코드가 유포됐으며, 여행 사이트 XX투어도 12월 27일 악성코드의 경유지로 활용됐다.
▲ 지난해 12월 27일 악성코드 경유지로 활용된 XX투어 사이트 화면
이와 관련 빛스캔 측은 “경유지로 활용된 링크는 약 39개의 사이트에 삽입됐으며, 스윗오렌지 킷과 CK 익스플로잇 킷을 동시에 활용하는 멀티 스테이지 형태의 공격이 자주 발견됐다”고 밝혔다.
이어 빛스캔 측은 “해당 악성링크는 다시 공격에 활용될 수 있으며 다른 제휴 페이지에서도 동시다발적으로 일어날 수 있다”며 “작년에도 XX투어 공식 홈페이지에서 발견된 악성링크가 오픈마켓에서도 동일하게 활용 된 바 있다”고 덧붙였다.
교육분야 악성링크 여전히 ‘활개’
지난 4일에는 XX자격협회 사이트에서 악성코드 삽입이 포착됐다. 이를 발견한 메가톤은 “공격자가 소스 변경을 하지 못하도록 암호화하고, 공격자가 SSH 서버를 구동할 수 있는 권한과 파일을 업로드 할 수 있는 FTP 권한을 탈취했다”며 “공격자가 악성파일을 업로드해 악성코드 유포지로 활용할 목적으로 악용한 것 같다”고 설명했다.
▲ 지난 3일 악성링크가 삽입된 XXX원격평생교육원 사이트 화면
지난 3일에는 XXX원격평생교육원 사이트에서 악성코드 삽입이 포착됐으며, 이보다 앞서 2일에는 기계제어, 자동화, 로봇, 시스템 분야의 국제학술대회 사이트 등록 페이지에서 악성링크가 발견되기도 했다.
이에 대해 Auditor Lee는 “해당 사이트는 2005년도 학술대회 개최 이후 사이트를 관리하지 않고 방치하면서 악성링크가 삽입된 것”이라며 관리 소홀의 문제를 지적했다.
이외에도 한 주간 언론사, 병원, 대학 등을 타깃으로 한 악성링크 삽입 공격이 들끓었다. 지난 1일에는 대량 모발이식 병원인 XX의원, XXX뉴스와 XX익스프레스, XX대학교에서 악성링크가 발견됐으며, XX경북뉴스 사이트에서는 금감원 팝업창이 뜨는 파밍용 악성코드가 유포됐다.
이에 대해 Auditor Lee는 “XX의원 사이트의 경우 js 모듈에 악성링크가 심어져 있었다”며, “XXX뉴스와 XX익스프레스, XX대학교 사이트는 악성코드 유포지로 연결되는 경유지로 악용됐으며, 악성코드 유포지로 연결돼 있다가 현재는 중간에 끊긴 상태”라고 밝혔다. 이와 함께 XX할인 사이트에서는 디페이스 해킹 징후가 포착됐다.
사설경마 도박사이트 운영 조직 검거
한 주간 사설경마 도박사이트도 기승을 부렸다. 이와 관련 중국 요년성 심양지역에서 사설경마 도박사이트를 운영한 2개 조직, 총12명이 검거됐다. 이 가운데 총책 김모(50세)씨 등 8명은 구속되고, 4명은 불구속 입건됐다.
▲ ‘월드레이스’ 도박사이트 운영 피의자 명단
▲ ‘코리아레이스’ 도박사이트 운영 피의자 명단
이와 관련 마산중부경찰서 측은 “이들 조직은 2014년 7월경부터 2015년 8월경까지 ‘코리아레이스’, ‘월드레이스’라는 불법사이트를 개설했다”며 “국내외에서 벌어지는 경마, 경정, 경륜, 일본경마에 배팅해 적중률에 따라 1.2%에서 300%까지의 배당금을 지급하는 방식으로 국내인 1,500여명으로부터 200억원의 돈을 받아 도박사이트를 운영한 것으로 확인됐다”고 밝혔다.
이들은 도박사이트 서버를 중국에 두고 도메인 주소를 수시로 변경했다. 게다가 자동발신전화 프로그램을 이용해 회원을 모집한 후, 회원들에게만 변경된 도메인주소를 알려주며 은밀하게 운영했다. 이들 중국내 숙소도 수시로 옮기고, 총책, 프로그래머, 대포통장 모집책, 신규회원 모집책, 고정회원 관리책, 사이트 관리책, 인출책 등으로 역할을 분담해 철저히 점조직 형태로 운영하는 방법으로 경찰의 추적을 피해왔던 것으로 드러났다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
