보안전문기업 (주)하우리(대표 김희천)는 최근 전세계를 대상으로 이력서 파일로 위장하여 유포중인 ‘시그마’ 랜섬웨어가 발견되고 있어, 특히 기업 인사 담당자들의 각별한 주의가 필요하다고 밝혔다.

 

“시그마(Sigma)” 랜섬웨어는 다양한 채용공고에 대한 입사 지원 형태로 랜섬웨어가 포함된 이력서 워드 문서 파일을 첨부하여 이메일을 통해 발송된다. 이메일의 지원 문구 및 지원자의 이름은 각기 다른 다양한 유형으로 발송된다. 현재 해당 랜섬웨어 이메일은 전세계를 대상으로 광범위하게 유포되고 있다.

 

특히 이력서 워드 문서는 수신자가 파일에 대한 신뢰감을 가질 수 있도록 암호가 걸려있으며, 암호는 이메일 본문에 명시하여 암호를 입력한 사용자 만이 문서를 열람할 수 있도록 했다. 암호가 걸려있는 문서이기 때문에 문서를 사전에 열람하여 악성코드를 탐지하는 행위기반 자동 분석 시스템 등을 우회할 수 있다.

 

이력서 문서가 열람되면 매크로가 동작하여 특정 서버로부터 ‘시그마’ 랜섬웨어를 다운로드하여 실행한다. 랜섬웨어는 PC 내의 주요 파일들을 암호화하고 “ReadMe.html”이라는 랜섬웨어 감염 노트를 생성하여 피해자가 몸값을 지불하도록 안내한다. 암호화 과정 중에 파일의 확장자는 변경하지 않기 때문에 파일이 암호화되었음을 인지하기 어렵다. 랜섬웨어는 복구 비용으로 약 400달러 상당의 비트코인을 요구한다.

 

최상명 CERT 실장은 “이력서를 활용한 랜섬웨어 및 지능형 지속 위협(APT) 공격이 지속적으로 발견되고 있다”라며, “기업의 인사 담당자들은 이력서 열람 시 별도의 격리된 공간인 가상환경 등에서 열람하길 권장한다”고 밝혔다.

현재 하우리 바이로봇에서는 ‘시그마’ 랜섬웨어를 "Trojan.Win32.Ransom"의 진단명으로 탐지 및 치료할 수 있다.

 


보안전문기업 (주)하우리(대표 김희천)는 최근 웹사이트 접속 시 입력하는 계정정보를 탈취하는 악성코드가 국내에 유포되고 있어 국내 사용자들의 주의가 필요하다고 밝혔다.

 

해당 악성코드의 국내 유포는 하우리 인텔리전스 위협 탐지 시스템(Radar)에 의해 최근 발견되었다. 현재 국내에 유포되고 있는 ‘헤르메스’ 랜섬웨어와 함께 유포되었으며, 최신 플래시 취약점 등을 이용하여 “선다운(Sundown)” 익스플로잇 킷을 통해 유포되었다. 웹 서핑 도중 사용자 모르게 은밀히 감염되기 때문에 사용자들이 인지하기 어렵다.

 

웹을 통해 최초 감염된 악성코드는 “윈도우 탐색기(explore.exe)”에 특정 코드를 삽입하여 동작시킨다. 가상머신을 탐지하여 악성코드 분석 시스템이나 분석가들일 경우에는 동작을 하지 않는다. 이후 사용자 PC 내의 각종 정보들을 수집하여 특정 서버로 전송한다.

 

악성코드는 지속적으로 PC에 상주하며 4가지 웹 브라우저(‘인터넷 익스플로러’, ‘크롬’, ‘파이어폭스’, ‘오페라’)의 입력 데이터를 가로채어 웹 사이트에 접속하는 계정정보들을 식별하여 로그로 남기고 탈취한다. “HTTPS” 보안 프로토콜을 통해 통신하는 웹사이트들에 대해서도 웹 브라우저에 입력하는 원시 데이터를 가로채기 때문에 계정정보를 탈취할 수 있다.

 

최상명 CERT 실장은 “랜섬웨어를 유포하는 조직이 함께 유포하는 악성코드로 금전적인 이득을 목표로 하는 것으로 추정된다”라며, “가상화폐 거래소 등 다양한 웹사이트의 계정정보가 탈취되어 2차 피해를 유발할 수 있다”고 밝혔다.

해당 악성코드는 하우리 바이로봇에서 "Trojan.Win32.R.Agent" 등의 진단명으로 탐지 및 치료할 수 있으며, ‘바이로봇 에이피티 쉴드’를 통해서도 사전 차단이 가능하다.

 

보안전문기업 (주)하우리(대표 김희천)는 분주한 연말연시 분위기를 틈타, 크리스마스를 겨냥한 다양한 랜섬웨어 악성코드가 제작되고 있어 사용자들의 주의가 필요하다고 밝혔다. 

크리스마스 시즌을 앞두고 많은 랜섬웨어 개발자들이 크리스마스 랜섬웨어를 만들고 있다. 다수의 크리스마스 랜섬웨어가 발견되고 있으며 대부분 오픈소스 랜섬웨어인 “히든티어(HiddenTear)”를 기반으로 제작 중인 것으로 보인다. ‘히든티어’는 랜섬웨어 교육을 목적으로 제작되어 오픈소스로 배포된 랜섬웨어 코드지만 여러 랜섬웨어들이 이를 악용하여 이용 중이다.  

완성되어 유포 중인 크리스마스 랜섬웨어도 있지만 대부분의 랜섬웨어는 아직 개발 단계로 지속적으로 랜섬노트 및 UI 등이 만들어지고 있다. 특히 ‘크리스마스 선물’ 이란 파일명으로 제작되고 있는 랜섬웨어는 ‘워너크라이’ 랜섬웨어와 유사한 디자인을 채용했다. 최근에 발견된 샘플일수록 랜섬웨어 감염 노트가 정교해지고 있으며, 비트코인 지급 관련 기능 등이 추가되고 있어 조만간 유포될 가능성이 매우 높다. 크리스마스 랜섬웨어들은 주로 10만원에서 15만원 상당의 비트코인을 요구하고 있다. 

하우리 CERT실은 “크리스마스 같은 특별한 날을 노리는 랜섬웨어가 지속해서 제작되고 있다”라며, “백신 업데이트는 항상 최신 상태로 유지하여야 하며 출처를 알 수 없는 파일이나 문서는 함부로 열람해선 안 된다”라고 밝혔다.  

현재 하우리 바이로봇에서는 해당 랜섬웨어를 "Trojan.Win32.HiddenTear"의 진단명으로 탐지 및 치료할 수 있다.

 


[그림1. 크리스마스 선물로 위장한 랜섬웨어]

[그림2. 또 다른 크리스마스 랜섬웨어]


+ Recent posts