파이어아이(지사장 전수홍, http://www.fireeye.kr/)가 한국을 집중 공격하는 매그니베르(Magniber) 랜섬웨어를 발견했다. 매그니베르는 매그니튜드(Magnitude) 랜섬웨어와 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로잇 킷을 통해 유포되는 새로운 랜섬웨어다.

아태지역, 특히 한국을 주로 공격하는 이러한 양상은 2017년 9월 말까지 보이다 사라졌으며, 지난 10월 15일 다시 한국만을 공격하기 시작했다. 최근까지 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 배포했다.

다시 등장한 매그니튜드 익스플로잇 킷은 온라인 광고를 통해 악성코드를 유포하는 말버타이징의 형태로 확인됐으며, 랜딩 페이지는 파이어아이가 최초로 발견 후 보고한 CVE-2016-0189로 구성되어있다. 매그니튜드 익스플로잇 킷에서 확인 할 수 있었던 바와 같이, 페이로드는 일반적인 EXE의 형태로 다운로드 됐으며, 도메인 인프라는 “Apache/2.2.15 (CentOS) DAV/2 mod_fastcgi/2.4.6” 서버로 호스팅됐다.

파이어아이의 DTI 시스템을 통해 확인한 바에 따르면, 이번에 배포된 매그니베르 랜섬웨어는 국내 시스템만을 대상으로 했으며, 해당 랜섬웨어는 시스템의 언어가 한국어가 아닌 경우 실행되지 않았다.

랜섬웨어는 기업에 중대한 위협을 가하고 있다. 다수의 공격이 이메일을 통해 감행되며, 익스플로잇 킷은 지속적으로 사용자를 위험에 빠트리고 있다. 특히, 오래된 소프트웨어 버전을 사용하거나 광고 차단기(ad blocker)를 사용하지 않는 유저들이 주로 공격을 받고 있다. 기업은 자사의 네트워크 노드가 완벽하게 패치 되었는지 반드시 확인해야 한다.

김원영 기자 goora@noteforum.co.kr

[디지털 모바일 IT 전문 정보 - 노트포럼]
Copyrights ⓒ 노트포럼, 무단전재 및 재배포 금지