[주간 악성링크] 병원 타깃 채굴용 악성코드 기승 外

입력 : 2018-01-05 08:05

마이랜섬 랜섬웨어, VBScript 통한 악성코드, 병원 타깃 채굴용 악성코드 기승
익산시립XXX, 디페이스 해킹...윈도우 서버 취약점 노출

[보안뉴스 김경애 기자] 한 주간 국내에 웹을 통해 유포되는 랜섬웨어는 줄어든 반면, 마이랜섬(매그니베르) 랜섬웨어와 가상화폐(암호화폐) 채굴용 악성코드는 기승을 부린 것으로 나타났다. 특히, 채굴용 악성코드의 경우 큰 폭으로 증가했으며, 최근 병원을 타깃으로 뿌려지고 있어 병원 관계자와 인사담당자들의 각별한 주의가 필요하다.


가상화폐 채굴용 악성코드 급증
이번에 발견된 악성파일은 이력서.egg 압축파일 형식으로 이메일을 통해 유포되고 있다. 특히, 병원 인사담당자를 노린 공격으로 3년 근무 경력을 내세우며 신분증과 면허증, 이력서를 압축파일로 첨부했다며 압축파일을 해제할 것을 권유하며 악성코드 감염을 유도하고 있다.

이에 대해 한 보안전문가는 “병원을 대상으로 이력서를 위장해 모네로 채굴 악성코드가 유포되고 있다”며 “해당 악성코드는 이용자 컴퓨터의 CPU를 99%나 잡아먹는 악성코드”라고 분석했다.

익산시립XXX, 디페이스 해킹
익산시립XXX이 디페이스 해킹된 정황이 포착됐다. 해당 사이트는 작년 12월 31일 해킹된 것으로 추정되며, 해커가 특정 웹페이지를 변조해 TXT 파일을 올렸다.


해커가 변조해 올린 TXT 파일 메시지에는 어떤 시스템도 안전하지 않으니 치명적인 취약점을 확인하고 웹 사이트 버그를 패치하라(‘No System is Safe. Do not Panic. No Damage given to your Website. Check your critical vulnerabilities and patch it your website bug’)는 내용이 담겨 있다.

특히, 해당 사이트는 1월 3일까지 문제점이 해결되지 않았으며, 게시판에 캡차코드가 없는 등 허술하게 관리되고 있는 것으로 드러났다.

인터넷피해구제협회 김근주 회장은 “2017년 12월 31일 윈도우 서버 2008 지원 종료로 인해 해당 홈페이지가 해킹된 것으로 보이며, 며칠째 방치된 걸 봐선 보안관리자가 없거나 제대로 관리되지 않는 것으로 보인다”며 “윈도우 서버 취약점을 패치하지 않으면 도둑이 들어오도록 대문을 열어놓은 꼴이나 다름없다. IDS, 방화벽 도입 등 보안을 강화해야 하고, 게시판 점검 및 서버 점검 등 정보보안을 대책을 세워야 한다”고 당부했다.

인텔, 미공개 취약점 우려
최근 리눅스(Linux), 윈도우(Windows), Mac OS에 영향을 미치는 인텔 취약점에 대한 우려의 목소리가 크다. 해당 취약점은 커널 메모리 정보를 사용자 공간에 유출시키는 취약점으로, 버그 수정으로 인한 성능 저하는 OS에 따라 다르지만 대략 5~30% 정도로 알려져 있다.


이와 관련 이스트시큐리티는 “현재까지 몇몇 벤치마크를 실행했다”며 “커널 패치로 10~20개 정도의 시스템에서 성능 저하가 예상된다”고 밝혔다.

성능 저하는 다량의 문맥 교환(Context Switch)과 기타 작업을 수행할 때 해당 커널을 이용하는 애플리케이션/워크로드의 상호작용 정도에 따라 다르다. 단순한 사용자 공간 애플리케이션이라면, x86 PTI가 크게 영향을 미치지는 않는 것으로 분석됐다. 다만, PCID 기능이 적용된 신형 인텔 CPU에서는 커널 패치로 인한 성능 저하가 완화되는 것으로 알려졌다. x86 PTI 패치는 현재 지원되는 모든 Linux 커널 시리즈로 백포트(back-ported)되고 있다.

다수의 리눅스 커널은 2017년부터 PCID를 지원하기 시작한 반면, 이전 LTS 커널들은 문맥 교환(Context Switch)에서 TLB 플러시를 방지하는 PCID를 지원하지 않아 속도 저하가 예상된다. 현재 해당 취약점은 AMD CPU에는 영향을 미치지 않지만, 아직 안전하지 않은 것으로 표시되고 있다. 최신 커널 코드를 사용하면 현재 모든 인텔 CPU가 안전하지 않은 것으로 표시된다.

VBScript 통한 악성코드 급증
한 주간 각종 악성코드도 들끓었다. 빛스캔이 발표한 1월 1주차 인터넷 위협 분석 보고서에 따르면 VBScript 통한 악성코드 유포가 크게 증가한 것으로 나타났다.


이와 관련 빛스캔은 “VBScript를 통해 유포된 악성코드는 원격제어(RAT: Remote Access Trojan) 유형이며, CVE-2014-6332 취약점을 이용한 VBScript와 갓모드(GodMode)도 탐지되고 있다”며 이번 주는 위협 단계가 ‘주의’라고 경고했다.

한 주간 DOC 파일을 통한 이모텟(Emotet) 악성코드도 유포됐다. 뿐만 아니라 CK Exploit Kit 버전도 v4.13->v11.29->v11.25으로 변경돼 유포됐다. 이와 함께 C&C Server도 지속적으로 탐지되고 있는 상황이다.

재택 알바 미끼로 개인정보와 돈 요구
최근 아르바이트 구인구직 사이트 ‘알바몬’에 ‘레고 조립 재택 알바를 구한다’는 모집 광고를 한 후, 개인정보와 돈을 요구하는 피해신고가 여러 건 접수됐다.


면접 없이 진행되는 재택근무인 점을 가장해 ‘이름, 연락처, 계좌번호, 메일, 신분증, 신분증 들고 찍은 셀카 사진’ 등 개인정보를 요구하고, 레고 조립에 필요한 재료비 명목으로 보증금을 요구해 이를 편취했다.

경찰청 사이버안전국은 “구인 모집을 빙자하는 광고에 아무런 의심 없이 입금하거나 계좌번호 등 개인정보를 넘겨줄 경우 2차 피해가 발생할 수 있다”며 “구인구직 명목으로 체크카드나 계좌번호 요구 시에는 반드시 사기로 의심하고 사이버캅에서 상대방 전화·계좌번호 검색을 통해 경찰에 신고 접수됐는지 여부를 확인할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

김경애기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  [한 주를 관통하는 보안 소식] 2024년 ...

• 5

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...