우크라이나의 소프트웨어 제조 업체 공식 웹사이트서 멀웨어 배포돼
인터넷 공간에서의 신뢰 관계 재정립 필요...의외의 사각지대
[보안뉴스 문가용 기자] 우크라이나의 소프트웨어 개발업체인 크리스탈 파이낸스 밀레니엄(Crystal Finace Millennium, CFM)의 공식 웹사이트가 해킹 당해 제우스(ZeuS)라는 뱅킹 트로이목마를 배포하고 있는 걸 탈로스(Talos) 팀이 발견했다. 2017년 6월 우크라이나의 세금 관련 소프트웨어 회사인 M.E.Doc을 통해 퍼져나갔던 낫페트야(NotPetya) 사건이 떠오른다.
[이미지 = iclickart]
하지만 낫페트야 공격과 달리 이번 제우스 공격은 침해된 서버를 활용하지 않는다. 오로지 CFM의 공식 웹사이트만을 배포처로 활용하고 있다. 스팸 이메일에 속은 피해자들이 다운로더를 다운로드 받으면, 그 다운로더가 CFM의 웹사이트에서 실제 멀웨어를 받아 공격을 시작하는 방식이다.
공격이 실제로 발생한 건 2016년 8월의 일로, 제우스 멀웨어 감염 프로세스에 관한 정보가 대중들에게 공개됐었다. 하지만 기술적인 내용뿐이었다. 탈로스가 최근 발표한 보고서에는 지질학적 정보나 C&C 도메인 관련 정보 등의 추가적인 사항들이 포함되었다.
먼저 공격은 스팸 이메일로부터 시작된다. 이 이메일에는 ZIP 파일이 첨부되어 있고, 이 압축파일 안에는 자바스크립트 파일이 들어있다. 자바스크립트의 기능은 멀웨어를 다운로드를 받는 것으로, 멀웨어 페이로드가 호스팅 된 CFM의 웹사이트로부터 ‘진짜’를 다운로드 시작한다. 한편 CFM의 웹사이트에는 제우스 외에도 PS크립트(PSCrypt)라는 랜섬웨어가 호스팅되어 있는 것도 발견했다.
제우스 자체는 2011년 공개된 2.0.8.9 버전의 코드를 재사용한 것으로 분석됐다. 페이로드 상태로 다운로드 된 제우스는 1) 가상 환경에 있는지 확인하고, 2) 가상 환경에 있을 경우 무한정 슬립 모드에 돌입하고, 3) 그렇지 않을 경우 레지스트리 엔트리를 만들어 시스템이 시작될 때마다 실행되도록 한다.
탈로스는 제우스와 연결된 C&C용 도메인 혹은 싱크홀 서버가 대다수 우크라이나와 미국에 있다고 밝혔다. 또한 우크라이나의 교통통신부에서 운영하는 공영 기업인 PJSC 우크르텔레콤(PJSC Ukrtelecom)이 가장 공격을 많이 받은 ISP라고도 말했다. 총 3165개의 고유한 IP 주소로부터 11925626번의 비콘들이 싱크홀 서버로부터 로깅됐다.
탈로스는 “이러한 공격 역시 기존의 ‘신뢰’ 관계를 겨냥한 것”이라고 정의한다. “신뢰받고 있는 소프트웨어 업체의 신뢰받는 웹사이트에 접속하도록 하고, 아무도 의심하지 않는 환경에서부터 멀웨어를 배포하는 공격은 의외로 눈에 띄지 않죠. 인터넷 환경에서의 ‘신뢰’에 대한 개념을 고민해야 합니다.”
탈로스의 보고서 원문과 상세한 정보는 여기(http://blog.talosintelligence.com/2018/01/cfm-zeus-variant.html)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]
인터넷 공간에서의 신뢰 관계 재정립 필요...의외의 사각지대
[보안뉴스 문가용 기자] 우크라이나의 소프트웨어 개발업체인 크리스탈 파이낸스 밀레니엄(Crystal Finace Millennium, CFM)의 공식 웹사이트가 해킹 당해 제우스(ZeuS)라는 뱅킹 트로이목마를 배포하고 있는 걸 탈로스(Talos) 팀이 발견했다. 2017년 6월 우크라이나의 세금 관련 소프트웨어 회사인 M.E.Doc을 통해 퍼져나갔던 낫페트야(NotPetya) 사건이 떠오른다.
[이미지 = iclickart]
하지만 낫페트야 공격과 달리 이번 제우스 공격은 침해된 서버를 활용하지 않는다. 오로지 CFM의 공식 웹사이트만을 배포처로 활용하고 있다. 스팸 이메일에 속은 피해자들이 다운로더를 다운로드 받으면, 그 다운로더가 CFM의 웹사이트에서 실제 멀웨어를 받아 공격을 시작하는 방식이다.
공격이 실제로 발생한 건 2016년 8월의 일로, 제우스 멀웨어 감염 프로세스에 관한 정보가 대중들에게 공개됐었다. 하지만 기술적인 내용뿐이었다. 탈로스가 최근 발표한 보고서에는 지질학적 정보나 C&C 도메인 관련 정보 등의 추가적인 사항들이 포함되었다.
먼저 공격은 스팸 이메일로부터 시작된다. 이 이메일에는 ZIP 파일이 첨부되어 있고, 이 압축파일 안에는 자바스크립트 파일이 들어있다. 자바스크립트의 기능은 멀웨어를 다운로드를 받는 것으로, 멀웨어 페이로드가 호스팅 된 CFM의 웹사이트로부터 ‘진짜’를 다운로드 시작한다. 한편 CFM의 웹사이트에는 제우스 외에도 PS크립트(PSCrypt)라는 랜섬웨어가 호스팅되어 있는 것도 발견했다.
제우스 자체는 2011년 공개된 2.0.8.9 버전의 코드를 재사용한 것으로 분석됐다. 페이로드 상태로 다운로드 된 제우스는 1) 가상 환경에 있는지 확인하고, 2) 가상 환경에 있을 경우 무한정 슬립 모드에 돌입하고, 3) 그렇지 않을 경우 레지스트리 엔트리를 만들어 시스템이 시작될 때마다 실행되도록 한다.
탈로스는 제우스와 연결된 C&C용 도메인 혹은 싱크홀 서버가 대다수 우크라이나와 미국에 있다고 밝혔다. 또한 우크라이나의 교통통신부에서 운영하는 공영 기업인 PJSC 우크르텔레콤(PJSC Ukrtelecom)이 가장 공격을 많이 받은 ISP라고도 말했다. 총 3165개의 고유한 IP 주소로부터 11925626번의 비콘들이 싱크홀 서버로부터 로깅됐다.
탈로스는 “이러한 공격 역시 기존의 ‘신뢰’ 관계를 겨냥한 것”이라고 정의한다. “신뢰받고 있는 소프트웨어 업체의 신뢰받는 웹사이트에 접속하도록 하고, 아무도 의심하지 않는 환경에서부터 멀웨어를 배포하는 공격은 의외로 눈에 띄지 않죠. 인터넷 환경에서의 ‘신뢰’에 대한 개념을 고민해야 합니다.”
탈로스의 보고서 원문과 상세한 정보는 여기(http://blog.talosintelligence.com/2018/01/cfm-zeus-variant.html)서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)