세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
기업 사용자 타깃 해킹 툴 Ammyy 발견! 대규모 감염 피해 노리나
  |  입력 : 2019-03-10 23:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CLOP 랜섬웨어와 동일한 인증서로 유포... 동일 제작자 가능성 높아

[보안뉴스 권 준 기자] 최근 특정기관을 사칭한 피싱 메일이 활발하게 유포되고 있는 가운데 피싱 메일에 첨부된 증명서.xls 등 엑셀 문서파일의 경우 악성 매크로를 포함하고 있는 것으로 드러났다.

▲악성문서의 감염 흐름[자료=안랩 ASEC]


보안전문 기업 안랩의 보안위협 대응조직인 ASEC 분석팀에 따르면 최근 발견된 악성 매크로가 실행되면 Ammyy로 명명된 원격제어 기능의 악성코드가 설치되는 것으로 알려졌다.

지난 2월 발견된 엑셀 문서파일의 경우 Flawed Ammyy라고 불리는 원격제어 기능의 백도어 악성코드가 사용자의 PC에 설치된 바 있다. 또한, 얼마 전에는 Ammyy 백도어 악성코드와 CLOP 랜섬웨어가 동일한 인증서로 유포되는 사례가 발견됐다.

이러한 상황에서 ASEC은 해당 백도어 악성코드를 모니터링 하던 중, 해당 악성코드가 기업을 타깃으로 하는 코드 상의 변화를 포착했다고 밝혔다. Ammyy 악성코드가 해당 파일이 실행된 환경의 작업 그룹명을 확인하는 방식을 통해 기업 사용자 환경을 감염 타깃으로 한다는 점이다. 이를 통해 CLOP 랜섬웨어가 기업 사용자들을 타깃으로 유포되는데 Ammyy 백도어를 활용하는 것으로 추정할 수 있다.

이를 바탕으로 공격자들은 회사 내 주요 정보를 탈취하거나 회사 직원들을 타깃으로 대규모 랜섬웨어 감염을 노림으로써 최대의 수익을 얻으려는 목적으로 추정된다. 이에 각 기업에서는 해당 악성코드에 감염되지 않도록 보안 강화에 만전을 기해야 할 것으로 보인다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)