HAURI Blog

보안전문기업 (주)하우리(대표 김희천)는 최근 “헤르메스(HERMES)” 랜섬웨어가 최신 플래시 취약점을 이용하여 유포되고 있어 국내 피해자가 크게 증가함에 따라 사용자들의 주의가 필요하다고 밝혔다.

하우리 인텔리전스 위협 탐지 시스템(Radar)에 따르면 3월 8일 오전부터 ‘헤르메스’ 랜섬웨어 2.1 버전이 최신 플래시 취약점인 “CVE-2018-4878”으로 국내에 유포되기 시작했다. 기존 “선다운(Sundown)” 익스플로잇 킷에 해당 취약점이 적용되며 국내의 피해자들이 크게 증가하고 있다.

특히 “CVE-2018-4878” 취약점은 최근까지 탈북자 및 북한 연구자 등을 대상으로 문서에 플래시가 포함된 형태로 “지능형 지속 위협(APT)” 공격에 사용되었다. 하지만 해당 취약점을 웹 서핑 도중 감염되는 “드라이브 바이 다운로드(Drive-by Download)” 형태로 변형하여 랜섬웨어 악성코드 유포에 대중적으로 사용하기 시작한 것이다.

‘헤르메스’ 랜섬웨어는 사용자 PC에 있는 수 천여 종류의 파일들을 암호화한다. 이후 폴더마다 “DECRYPT_INFORMATION.html” 라는 이름의 랜섬웨어 감염 노트를 생성하여 약 266만원 상당의 가상화폐로 몸값을 내도록 유도한다. 특히 ‘헤르메스’ 랜섬웨어 제작자는 국내 백신 환경에 대해서도 분석하여 국내 일부 백신에 대해서 우회하는 기능을 추가하기도 하였다.

최상명 CERT 실장은 “지난 달에 플래시 패치가 나왔지만 아직도 패치를 하지 않은 사용자가 많다”라며, “해당 취약점이 사용되기 시작한 이후 국내 랜섬웨어 감염자가 크게 증가하고 있으므로 아직 패치를 하지 않은 사용자는 반드시 패치를 해야 한다”라고 밝혔다.

플래시 취약점으로 유포되는 ‘헤르메스’ 랜섬웨어는 하우리 바이로봇에서 "Trojan.Win32.R.Agent" 등의 진단명으로 탐지 및 치료할 수 있으며, ‘바이로봇 에이피티 쉴드’를 통해서도 사전 차단이 가능하다.

보안전문기업 (주)하우리(대표 김희천)는 최근 PC 내의 가상화폐 지갑을 훔쳐가는 악성코드가 웹을 통해 유포되고 있어 사용자들의 주의가 필요하다고 밝혔다. 

이번에 발견된 가상화폐 지갑 탈취 악성코드는 기존에 “선다운(Sundown)” 익스플로잇 킷을 통해서 “매트릭스(Matrix)” 랜섬웨어를 유포하던 조직이 랜섬웨어 대신 유포하기 시작했다. 기존의 ‘매트릭스’ 랜섬웨어는 ‘평양’, ‘주체’ 등의 단어와 ‘네이버’ 이메일 계정을 사용하는 등 한국에 대한 이해가 높은 범죄자들에 의해 만들어진 랜섬웨어였다. 

최근 정부의 국내 가상화폐 거래소 규제 이슈와 함께 혹시 모를 위험에 대비한 가상화폐 코인을 거래소 지갑에서 자신의 PC의 가상화폐 지갑으로 옮기는 사용자들이 많아지자 이를 노린 악성코드가 등장한 것으로 추정된다. 특히 이번에도 ‘강남스타일’이라는 단어가 포함된 것으로 보아 국내와 관련하여 악성코드를 제작한 것으로 추정된다.  

해당 악성코드에 감염되면 사용자 PC에 있는 가상화폐 지갑 주소와 패스워드를 수집하여 해커의 “명령제어(C&C)” 서버로 전송한다. 해커는 ‘비트코인’을 포함한 총 25가지 가상화폐의 지갑을 목표로 한다. 또한 ‘명령제어’ 서버로부터 해커의 지갑 주소를 수신하여 사용자가 지갑 주소를 복사하는 시점에 ‘클립보드’에 저장된 주소를 해커의 지갑 주소로 바꿔치기한다. 이때, 사용자가 붙여넣기로 지갑 주소를 입력하면 해커의 지갑 주소가 입력되기 때문에 코인은 해커에게 전송된다. 

최상명 CERT실장은 “우리나라의 가상화폐에 대한 많은 관심과 투자가 전세계 해커들의 먹잇감이 되고 있다”라며, “웹 서핑 도중 악성코드에 감염되지 않도록 최신 보안 업데이트를 반드시 수행해야 한다”라고 밝혔다.  

현재 웹을 통해 유포 중인 해당 악성코드는 무료 취약점 공격 사전차단 솔루션인 ‘바이로봇 에이피티 쉴드’를 통해서 감염을 예방할 수 있으며, 하우리 바이로봇에서는 해당 악성코드를 "Trojan.Win32.Agent"의 진단명으로 탐지 및 치료할 수 있다.
 

[그림1. PC 내의 다양한 가상화폐 지갑을 훔쳐가는 코드]

[그림2. 악성코드 내에 포함된 강남스타일 문자열]