Home > 전체기사
‘평양·주체’ 계정 해커, 웹사이트 취약점 맞춤 공격
  |  입력 : 2017-12-05 09:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
네이버 계정 갈아탄 ‘평양·주체’ 해커, 지메일까지 이용해 ‘매트릭스’ 유포
해커, IE와 플래시 취약점 이용...보안 패치 없이 웹사이트 방문시 랜섬웨어 감염


[보안뉴스 김경애 기자] 기존에 야후 계정을 사용하던 ‘평양·주체’ 계정 해커가 네이버 계정에 이어 지메일(gmail) 계정으로 또 다시 갈아타 ‘매트릭스(Matrix)’ 랜섬웨어를 유포하는 정황이 탐지됐다. 특히, 해커는 IE와 플래취 취약점을 이용하고 있어 이용자는 취약점에 노출되지 않도록 각별히 주의해야 할 것으로 보인다.

▲파일 복원 위해 네이버 메일 계정으로 비트코인 요구하는 화면[이미지=벌새]


매트릭스 랜섬웨어는 악성코드가 숨겨진 웹사이트에 방문만 해도 감염되는 드라이브 바이 다운로드(Drive-by-Download) 방식으로 피해를 확산시키며, 악성코드 유포 공격도구인 ‘선다운(Sundown)’ 익스플로잇 킷을 통해 국내에 유포되고 있다.

현재 해커는 IE와 플래시 보안 패치가 적용되지 않은 사용자가 웹사이트에 접속할 경우 자동으로 랜섬웨어에 감염되는 방식으로 유포하고 있다.

이와 관련 익명의 한 보안전문가는 “매트릭스 랜섬웨어는 ‘선다운(Sundown)’ 익스플로잇 킷을 통해 국내에 유포되고 있다”며 “IE와 플래시 취약점을 이용한 공격이 둘다 탐지되고 있다. 취약점에 노출되지 않도록 주의해야 한다”고 말했다.

지난 11월 1일까지 활동하다 잠시 잠잠하던 해커는 지난 22일부터 지금까지 지속적으로 활동하며 매트릭스 랜섬웨어를 유포하고 있다. 11월 1일 이전까지는 juche001@yahoo.com로 메일 계정과 juche001@Tutanota.com 메일 계정을 사용해 랜섬웨어 감염자를 협박한 바 있다. 최근 들어서는 네이버에 이어 지메일 메일 계정 주소로 바꿔가며 이용자를 협박하고 있는 상황이다.

안티 랜섬웨어를 서비스하고 있는 체크멀(CheckMAL)에 따르면 보통 이러한 랜섬웨어 유포하는 방식은 익스플로잇 킷(Exploit Kit)을 별도 구입해 사용하기 때문에 전문적으로 유포하는 조직이 따로 존재할 가능성이 있다고 예상했다.

특히, 이번 해커의 활동 중 주목되는 점은 암호화 패턴이다. 체크멀에 따르면 네이버 계정을 사용하고 있는 매트릭스 랜섬웨어 유포 해커의 암호화 패턴이 ‘<원본 파일명>_Write_To_Emails_[Jingju87@naver.com][Loder903@gmail.com].<원본 확장명>’인 것으로 분석됐다.

이는 해커가 원본파일명에 메일 계정인 네이버와 지메일 계정을 추가한 것으로 볼 수 있다. 일반적인 매트릭스 랜섬웨어의 경우 암호화된 파일 이름을 원본 그대로 사용하는데, 이번에 발견된 암호화 파일은 해커 연락처로 추정되는 이메일 주소가 포함돼 있다. 이는 기존과는 다른 방식이라고 할 수 있다. 이와 관련 체크멀 관계자는 “공격자가 노골적으로 비트코인을 요구하기 위해 메일 계정을 추가한 것으로 보인다”며 “시각적으로 연락처를 부각시키기 위해 파일명에 이메일 주소를 기재한 것 같다”고 언급했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)