[주간 보안이슈] 비자 카드 이벤트로 위장한 랜섬웨어 유포 外

랜섬웨어: 애플 맥 운영체제 타깃, 비자 카드 이벤트 위장, 수천개 웹서버 감염
일본 주요 인프라 산업 노린 APT 공격, 작전명 모래폭풍으로 2010년부터 시작

[보안뉴스 김경애] 지난 한 주간에도 랜섬웨어가 끊임없이 발견됐다. 애플 맥용 운영체제 OS X를 겨냥한 랜섬웨어가 등장했으며, 비자카드 이벤트로 위장한 스팸 메일을 통해 랜섬웨가 유포되기도 했다. 또한, 크립토락커(CTB-Locker) 랜섬웨어가 수천 개의 웹서버를 감염시켜 피해를 입히기도 했다. 다음은 한 주간 발생한 보안이슈다.

1. 애플 맥 운영체제 노린 랜섬웨어 등장
먼저 애플 맥용 운영체제 OS X를 겨냥한 랜섬웨어가 등장했다. 팔로알토 네트웍스에 따르면 7일 맥용 파일 공유 클라이언트 ‘트랜스미션 비트토렌트(Transmission BitTorrent)’의 설치 프로그램이 ‘키레인저(KeRanger)’ 랜섬웨어에 감염됐다.

‘키레인저(KeRanger)’는 2014년 발견됐던 OS X 랜섬웨어로 알려진 파일코더(FileCoder)와 달리 OS X 플랫폼에서 작동하는 기능을 갖춘 랜섬웨어로 분석됐다.

이번에 감염된 ‘트랜스미션’은 오픈 소스 프로젝트로, 트랜스미션의 공식 웹 사이트가 손상됐을 가능성과 파일이 재컴파일된 악성 버전으로 교체됐을 가능성이 제기되고 있다. 하지만 정확한 감염 경로는 확인되지 않은 것으로 나타났다.

2. 비자 카드 이벤트로 위장한 스팸 통해 랜섬웨어 유포
최근 Visa Total Reward 이메일로 위장한 스팸메일을 통해 랜섬웨어가 유포됐다. 이메일에는 Visa 리워드 및 혜택 정보가 담겨 있는 압축파일이 첨부되어 있으며, 파일을 열면 난독화된 자바스크립트 파일이 보인다.

▲비자카드 이벤트로 위장한 스팸메일(출처: 시만텍)

자바스크립트 파일을 열면, 테슬라스크립트(TeslaCrypt) 랜섬웨어 변종이 다운로드되며, 모든 파일이 암호화됐다는 메세지와 함께 비트코인 지불을 요구한다.

랜섬웨어는 160시간 안에 500달러 상당의 1.2비트코인을 요구하며, 기간을 넘길 경우 1000달러로 금액이 2배로 오른다.

알약 블로그에 따르면 해당 랜섬웨어 감염국가는 영국, 미국이 가장 많았으며, 인도, 호주, 일본, 싱가폴 등이 그 뒤를 이었다며, 공격은 2월 17일경 시작됐으며, 현재까지 진행 중이라고 밝혔다.

3. 크립토락커 랜섬웨어, 수천개 웹서버 감염
웹사이트의 데이터를 암호화하고, 0.4 비트코인을 지불하면 복호화해 주는 크립토락커 랜섬웨어도 한 주간 기승을 부렸다.

▲CTB-Locker 랜섬웨어 감염화면(츨처: BLEEPINGCOMPUTER)

크립토락커 랜섬웨어는 웹사이트를 호스팅하는 서버의 인덱스페이지(index.php 또는 index.html)를 공격자가 만든 페이지(새로운 index.php)로 바꿔버린다. 이후 사이트의 파일들을 암호화시키며, 기한 내에 랜섬머니를 지불해야 한다는 메시지를 표시한다.

암호화가 되면 ‘당신의 스크립트, 문서, 사진, 데이터베이스 및 다른 중요한 파일들은 가장 강력한 암호화 알고리즘인 AES-256과 이 사이트를 위해 생성된 고유키를 이용해 암호화되었습니다’라는 메세지가 표시된다. 또한, 특정 비트코인 주소로 돈을 지불할 수 있는 가이드도 제시된다.

웹 사이트를 암호화시킨 후, 랜섬웨어 공격자는 2개의 서로 다른 AES-256 복호화 키를 생성한다. 이 중 하나는 2개의 랜덤한 파일들을 무료로 복호화하는데 사용된다.

사이트 관리자가 암호화된 파일명을 입력하고 ‘Decrypt for Free’ 버튼을 클릭하면, C&C 서버에서 복호화 키를 테스트하라는 요청을 통해 jquery가 작동된다. 키를 수령한 후 두개의 랜덤 파일을 복호화 한 후 ‘축하드립니다! 테스트 파일들이 복호화 되었습니다!’라는 메세지를 표시한다. 나머지 키 하나는 랜섬머니를 지불한 후, 암호화된 다른 모든 파일들을 복호화해준다.

웹사이트의 모든 컨텐츠는 AES-256 알고리즘을 이용해 암호화되며, 각각의 웹사이트를 위한 고유 ID가 생성된다. 모든 타입의 파일들은 크립토락커 랜섬웨어에 영향을 받는다.

랜섬웨어 개발자들은 감염자와 직접 통신할 수 있는 채팅방도 제공하며, 채팅을 위해서는 index.php와 동일한 경로에 있는 secret 파일의 이름을 확인해야만 한다.

관리자들이 특정 기간 내에 랜섬머니를 지불하지 않으면 0.8비트코인으로 금액을 2배로 올린다.

이에 대해 알약 블로그 측은 “감염 서버들은 Linux와 Windows 더블 OS를 사용하고 있으며, 그 중 대부분(73%)이 Exim 서비스를 이용하고 있다 ”며 “랜섬웨어는 수많은 워드프레스 사이트들을 타깃으로 하고 있으며, 많은 웹사이트들이 피해를 당했다”고 밝혔다.

4. 일본 주요 인프라 산업 노린 APT 공격
일본의 주요 산업과 기간시설을 노리는 공격도 발견됐다. 보안업체 Cylance에서 발표한 ‘Operation Dust Storm(모래폭풍대작전)’ 리포트에 따르면 이 조직은 2010년부터 공격을 시작했으며, 지금까지 일본, 한국, 미국 및 기타 아시아 국가의 주요 산업시설을 대상으로 다양한 수법을 이용해 공격하고 있다.

▲2010-2011 도메인 등록 화면(출처: 보안업체 Cylance ‘OPERATION DUST STORM ’ 보고서)

조직들은 충분한 예산과 인재, 공격 기술면에서 충분한 리소스를 갖고 있어 장기적인 공격 진행이 가능한 게 특징이다.

Cylance 연구원들은 “2015년부터 일본의 전력시설, 석유 및 천연가스, 대중교통 및 건설업계 등의 네트워크를 집중 공격하고 있는 것으로 확인됐다”며 “해킹 피해를 당한 기업들 리스트에는 자동차 제조업체, 한국 전력회사의 일본법인 및 석유천연가스 업체가 포함되어 있다”고 밝혔다.

해당 조직은 주로 ‘워터링홀’과 ‘스피어피싱’ 기법을 자주 사용하며, 공격타깃에 커스터마이징된 백도어와 제로데이 취약점을 이용해 공격 성공률을 높이는 것으로 분석된다. 2015년 5월 대규모의 공격을 진행했데, 이 공격은 일본과 한국이 타깃이었으며, 몇몇 안드로이드 백도어를 사용했다.

특히, 해당 조직은 아시아를 공격하기 위해 백도어를 특별히 제작했는데, 2010년 최초로 공격했으며, 2011년에도 공격을 감행했던 것으로 드러났다. 2011년에는 공격자들이 Adobe Flash Player (CVE-2011-0611) 및 internet Explorer(CVE-2011-1255) 제로데이 취약점을 이용해 악성코드를 유포했다.

2011년 10월, 해커들은 카다피가 죽은 후 리비아 위기와 관련된 정보들을 수집했다. 2012년에는 Internet Explorer 제로데이 취약점 CVE-2012-1889를 이용해 스파이 활동을 하기도 했다.

Cylance 전문가들은 2013년 3월 해당 조직의 공격이 일시적으로 감소한 것에 주목했는데, 마침 이 때가 맨디언트가 APT1 캠페인을 진행하는 중국의 APT 조직 분석보고서를 발표한 후였다. 2014년 2월, 해당 조직은 Internet Explorer 제로데이 취약점인 CVE-2014-0322을 악용해 워터링홀 공격을 다시 재개한 것으로 드러났다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)