[아이뉴스24 성지은 기자] 지난달 한국, 일본, 중동, 남유럽, 아태지역 사용자를 노리는 악성코드 유포도구가 발견됐다.
이 도구는 웹 사이트 광고를 통해 랜섬웨어를 유포하는 '멀버타이징'에 악용됐다.
글로벌 사이버보안 기업 파이어아이는 멀버타이징에 악용된 악성코드 유포도구 '폴아웃 익스플로잇 키트'를 발견했다고 17일 발표했다.
이 도구는 지난달 24일 한 도메인(finalcountdown[.]gq)에서 처음 발견됐고 이를 발견한 도쿄의 한 연구원이 29일 폴아웃으로 명명했다.
파이어아이는 추가 연구를 통해 해당 캠페인과 연관된 도메인, 지역, 추가활동(페이로드) 등이 있다는 사실을 발견했다. 해당 도구는 일본 사용자를 겨냥한 '스모크로더', 중동 지역 사용자를 노린 '갠드크랩' 랜섬웨어 등을 유포하는 데 악용됐다.
파이어아이에 따르면, 이 도구는 사용자의 브라우저 프로필을 검사해 표적과 일치할 경우 악성 콘텐츠를 퍼뜨리는 방식을 취한다. 표적이 될 경우, 사용자는 302개의 경로 재설정(리디렉션)을 통해 진짜 광고 페이지가 아닌 익스플로잇 키트 페이지의 인터넷주소(URL)로 접속된다.
해당 익스플로잇 키트의 접속 페이지 주소는 지속적으로 변하고 패턴을 도출하기에 포괄적이라 특정 패턴 기반 탐지에 의존하는 침입탐지시스템(IDS)으로 차단하기 어렵다는 게 회사 측 설명이다.
또한 사회공학적 기법을 이용해 익스플로잇 키트가 바로 설치되는 사례도 있었다. 업데이트가 잘 된 운영체제(OS) 등 소프트웨어(SW)를 갖춘 사용자는 취약점을 노린 익스플로잇 키트로 공격하기 어려운데, 해커는 이 경우 사회공학적 기법을 이용해 사용자를 랜섬웨어에 감염시켰다 .
파이어아이 측은 "정부, 통신, 헬스케어 분야 관련자들이 이번 캠페인에 특히 주의해야 한다"며 "익스플로잇 키트는 패치를 잘 하지 않는 사용자에게 무시할 수 없는 위협"이라고 설명했다.
또한 "최근 파이어아이는 보안이 더 취약한 SW를 활용하는 성향이 큰 아태지역 내 익스플로잇 키트 활동을 더 많이 발견하고 있다"며 "북미의 경우 익스플로잇 키트 대신 직접적인 사회공학적 캠페인이 두드러졌다"고 덧붙였다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기