CTB-Locker 랜섬웨어, FBI 지침 사칭해 비트코인 지불 유도
파밍 악성코드와 최신 게임 실행파일 위장한 악성코드 유포

[보안뉴스 김경애] 한 주간 랜섬웨어 유포가 기승을 부렸으며, 국내 웹사이트를 타깃으로 CK익스플로잇 킷을 이용한 파밍용 악성코드가 활개를 쳤다. 뿐만 아니라 최신 게임 AssassinsCreed의 실행 파일로 위장한 악성파일도 발견됐으며, 봄철 신학기 시즌에 맞춰 쇼핑몰, 택배, 취업 사이트 등에서 악성코드가 줄줄이 유포됐다.


CTB-Locker 랜섬웨어, FBI 지침 사칭해 비트코인 지불 유도
30일에는 CTB-Locker 랜섬웨어가 발견됐다. 특히, 이번에 발견된 CTB-Locker 랜섬웨어는 알림 페이지에 FBI가 랜섬웨어에 걸리면 비트코인을 주고 복호화하라고 지침을 내렸다는 내용을 넣은 것이 특징이다. 이는 비트코인 지불을 유도하는 사회공학적 수법으로 랜섬웨어가 사람의 심리를 이용한 지능적 범죄로 점차 진화하고 있다는 것을 의미한다.

이보다 앞서 지난 28일에는 국내 언론사와 오픈소스 OpenX 광고플랫폼을 통해 랜섬웨어가 유포됐다. 이와 관련 하우리 최상명 CERT 실장은 보안에 취약한 WordPress(워드프레스) 플랫폼과 OpenX 광고 플랫폼 사용을 꼽았다.

이어 한 보안전문가는 “오픈소스의 경우 해커들이 소스를 통해 취약점을 많이 찾을 수 있어 공격 위험에 노출돼 있다”며 “오픈소스 보단 상용제품을 사용하는 것이 보안에 안전할 수 있다. 만약 오픈소스를 꼭 사용해야 할 경우 무엇보다 빠른 패치 적용과 함께 웹방화벽 등을 도입해야 한다”고 당부했다.

CK 익스플로잇 킷 이용한 파밍 악성코드 유포
3월4~5주차에는 파밍용 악성코드 활동도 두드러졌다. MAC주소, 공인인증서, 개인금융정보 등의 유출을 노린 파밍용 악성코드가 곳곳에서 탐지되는 등 활개를 치는 양상이다.


이에 대해 빛스캔 측은 “3월 5주차는 CK 공격킷 버전이 v3.13, v3.22, v3.23 등으로 혼용되어 사용됐다”며, “v3.13과 v3.22버전에서는 백신 탐지 우회를 위한 기법도 발견됐다”고 밝혔다.

지난 25일에는 국내 웹사이트를 타깃으로 한 새로운 형태의 파밍용 악성코드가 유포되기도 했다. 공격자는 악성코드 유포를 위해 주로 CK 익스플로잇 킷(CK Exploit Kit)을 이용했다.

CK 익스플로잇 킷 공격툴은 지난 2012년에 최초 제작된 것으로, 사용자 PC에 설치된 인터넷 익스플로러, 플래시 플레이어, 자바 등 여러 소프트웨어 취약점을 확인해 악성코드가 설치될 수 있도록 악성 스크립트를 만들어 주는 자동화된 공격도구다.

최근 파이어아이에서 발표한 공다 익스플로잇 킷(GonDa Exploit Kit)을 이용한 악성코드 유포도 CK VIP 공격툴 킷으로 확인됐다. 하지만 최근 업데이트된 CK 익스플로잇 킷 공격툴과 함께 플래시 플레이어 취약점을 단독으로 이용한 공격 형태가 확인됐다.

이에 대해 제로서트 측은 “공격자가 타깃 홈페이지를 조금씩 확대하는 걸 봐선 백신 탐지 유무 확인 등 시험 테스트 단계로 보인다”며 “최근 XXXX연구원을 통한 악성코드 유포도 플래시 플레이어 취약점만 이용됐으며, 연구소, 학회, 항만, 병원, 교육 분야 등의 홈페이지로 확대되고 있다”고 분석했다. 또한, 악성 SWF 파일에서 생성되는 EXE 파일이 백신에서는 탐지되나 SWF 파일 자체는 백신에서 탐지되지 않는다고 덧붙였다.

최신 게임 실행파일 위장한 악성코드 유포
지난 22일에는 최신 게임 AssassinsCreed의 실행 파일로 위장한 악성파일 Client.exe가 발견됐다. Client.exe는 유명 토렌트 공유 커뮤니티를 통해 유포됐으며, 압축파일이 다운로드되기 전까지 내용물을 확인할 수 없어 더욱 주의가 필요하다.


다운로드된 압축파일을 실행하면 게임실행에 관한 안내문이 나오는데, 이는 게임 핵의 오진을 이유로 백신 종료를 유도하고, AssassinsCreedBrotherhood.exe 악성파일 실행을 요구한다.

인스톨러를 통해 실행된 Client.exe는 명령제어(C&C) 서버 악성코드 형태로 동작한다. 악성서버에 연결되면 명령을 수신해 프로세스 제어, 파일 제어, 추가 다운로드, 화면 캡처, 하드디스크 포맷 등의 악성동작을 수행할 수 있다.

보안전문업체 잉카인터넷 측은 “정보수집을 위해 PC의 위치를 검색하는 기능, 현재 로그인한 사용자의 권한을 확인하는 기능 등 여러 부분에서 한글이 사용됐다”며 “공격자는 수많은 악성코드를 신속하게 양산하기 위해 악성 서버로 전송하는 문자열에 한글을 사용하고 여러 지도 제공 사이트 중 국내 포털 사이트를 이용했으며, 조회된 한글 위치를 그대로 전송하는 등의 특징을 지녔다”고 설명했다.

계절적 요인+사용자 방문 많은 곳 타깃
3월 4주차와 5주차는 악성코드의 활동이 본격화돼 신규 경유지의 활동이 증가했으며, 파급력 역시 상승한 것으로 나타났다.


특히, 계절적 영향으로 인해 XXX샵, XXX21CC, XX북스, XXX택배, XXXXX간호사회 사이트에서 레거시 링크를 재활용한 악성코드가 유포됐다. 3월 5주차에는 쇼핑몰, 파일공유(P2P), 날씨 배너, 커뮤니티 등 사용자 방문이 많은 사이트와 배너 등에서 악성코드가 유포됐다. 이와 함께 워터링홀 공격도 2주 연속 발견됐다.

네트워크 해킹 공격, 83.56%
한 주간 벤더별 취약점은 HP가 7건으로 가장 많이 발견됐다. SK인포섹 블로그에 따르면 3월 3주차 벤더 취약점은 총 13건이며, 그 가운데 HP 7건(54%), IBM 3건(23%), 시만텍 3건,(23%) 순으로 나타났다고 밝혔다.



지난 한 주간 탐지된 공격 유형은 네트워크 해킹 83.56%, 웹해킹 5.42%가 높은 점유율을 차지했다. 탐지된 패턴은 MSRPC_Invalid_Request가 1,349,343건(84.62%)으로 가장 많았다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>