한국어로 된 시스템만 집중공격 변종 ‘매그니베르’ 랜섬웨어

한국어로 된 시스템만 집중공격 변종 ‘매그니베르’ 랜섬웨어
이경탁 기자   kt87@dt.co.kr |   입력: 2017-10-23 10:30
파이어아이코리아(대표 전수홍)가 23일 한국을 집중 공격하는 매그니베르 랜섬웨어를 발견했다고 밝혔다.

매그니베르는 매그니튜드 랜섬웨어와 케르베르 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형돼 매그니튜드 '익스플로잇 킷(악성코드를 유포하기 위해 사용하는 공격 도구)'을 통해 유포된다.

익스플로잇 킷 공격은 지난해 말부터 감소했으나 특정 공격 활동은 지속적으로 감행되고 있다. 매그니튜드 익스플로잇 킷은 아태지역을 집중 공격하는 대표적인 예다. 특히 한국을 주로 공격하는 양상은 지난 9월 말까지 보이다 사라졌다, 이달 15일부터 다시 한국만을 공격하기 시작했다. 최근까지 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 배포했다.

파이어아이에 따르면 이번에 배포된 매그니베르 랜섬웨어는 국내 시스템만을 대상으로 했으며, 해당 랜섬웨어는 시스템의 언어가 한국어가 아닌 경우 실행되지 않았다. 샌드박스 시스템을 피하기 위해 이 멀웨어는 가상머신에서 구동되는지 확인을 하고 그 결과를 URL 콜백으로 첨부했다.

샌드박스는 외부에서 들어온 프로그램이나 데이터를 가상 영역에 전부 가둔 뒤 그 중 특정 데이터에 숨어있던 바이러스가 시스템에 악영향을 끼치려는 움직임이 감지되면 해당 바이러스를 즉시 차단하는 기술이다. 가상머신 확인은 평균적으로 실행에 소요되는 시간을 확인하기 위해 여러 차례에 걸쳐 진행됐으며, 평균 소요 시간이 1000보다 큰 경우 해당 시스템을 가상머신으로 분류했다. 이경탁기자 kt87@dt.co.kr

한국어로 된 시스템만 집중공격 변종 ‘매그니베르’ 랜섬웨어
한국어 사용 시스템 공격. 파이어아이코리아 제공



[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

DT Main
가장 많이 본 기사