이스트시큐리티 보안동향보고서 No Copyright 2021 ESTsecurity Corp. All rights reserved.

이스트시큐리티 보안동향보고서 No.136 2021.01

No.136 2021.01 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 01-05 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 06-13 2020 년 4 분기, 알약랜섬웨어행위기반차단건수 : 172,696 건! 지속적으로유포되는 ' 이미지저작권침해 ' 메일주의 03 악성코드분석보고 04 글로벌보안동향 14-16 17-26

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1

01 악성코드통계및분석 1. 악성코드동향 12 월에도 탈륨 (Thallium) 금성 121(Geumseong 121) 등북한연계조직의소행으로추정되는 APT 공격이연이어발견됐습니다. 이들은한국과미국등지에서활동하는 APT 그룹중가장활발한첩보활동을전개하고있으며 2020 년한해동안코로나 19 치료제를연구하는국내외대표제약사, 국내암호화폐거래관계자와과학기술분야교육관계자등을타깃으로공격을수행한것이확인됐습니다. 12 월한달동안에발생했던주목할만한 APT 공격에는 통일부로가장한악성이메일공격, 평화통일관련이야기공모전신청서를사칭한악성 HWP 문서공격 과 국내블록체인기업체불확인원문서로위장한악성 DOC 파일공격 이있었습니다. 특히평화통일관련이야기공모전신청서를사칭한공격에서는한컴오피스한글프로그램의객체연결삽입 (OLE) 기능을악용했는데, 이러한공격방식은문서파일차제취약점을악용하지않기때문에최신버전의프로그램을사용하거나보안업데이트를모두적용한경우에도악성코드가실행될가능성이크기때문에매우위험합니다. 이와관련된자세한분석내용은이스트시큐리티알약블로그와 Threat Inside 게시물 [ 북한동향정보, 통일이야기공모전문서사칭 北연계 APT 조직공격주의보 ] 에서확인하실수있습니다. 이번달에도역시전세계적으로관심을받는이슈를악용한공격이확인됐습니다. 지난 12 월 10 일출시된 Cyberpunk 2077 의인기를악용하여해당게임의모바일버전으로위장한안드로이드랜섬웨어 CoderWare 가발견됐습니다. 해당가짜모바일게임은정식구글플레이스토어로위장한가짜웹사이트를통해배포되고있었습니다. 아직까지 CoderWare 랜섬웨어의복호화가능여부는공식적으로확인되지않았습니다. 이렇듯저작권이있는소프트웨어를무료로설치하려고시도할경우악성코드에감염될위험에처하게됩니다. 따라서소프트웨어나애플리케이션을설치할경우에는반드시공식다운로드센터및앱스토어를사용해야합니다. 이스트시큐리티에서는연말을맞아 2020 년한해동안발생한주요보안이슈에는어떤것들이있었는지되짚어보며 2021 년에는어떤보안이슈들이발생할것인지전망해보았습니다. 2021 년에는 1) 정부지원방식의고도화된 APT 공격이지속적으로등장할것이며 2) 재택근무증가에따라원격업무환경타깃공격이지속되고 3) 랜섬웨어협박을통한금전갈취규모가커지고지속될것으로예상됩니다. 또한 4) 5G 네트워크사용증가에따라취약점을악용한공격이활발해지고 5) 2020 년과마찬가지로사회적이슈를악용한악성앱유포공격이증가할것입니다. 이스트시큐리티가발표한보안이슈결산에관심이있으신분들은알약블로그와 Threat Inside 에서전문을확인하실수있습니다. 2020 년한해를돌아보면사이버위협의수위는날이갈수록높아지고있고공격방식또한고도화되고있습니다. 따라서 2021 년에는기존에발생한위협사례들을확인하고인지하여철저하게보안수칙을준수하는노력이 필요합니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 감염악성코드 Top 15 는사용자 PC 에서탐지된악성코드를기반으로산출한통계다. 2020 년 12 월의감염악성코드 Top 15 리스트에서는지난달 2위로 1단계하락했던 Hosts.media.opencandy.com 이다시 1위를차지했으며 Misc.HackTool.AutoKMS 와 Trojan.ShadowBrokers.A 가한계단씩상승했다. 그외에이번달에는 Gen:Variant.Johnnie.248927 을비롯한 6건의악성코드가새롭게 Top 15 에백도어악성코드유형에해당하는 Backdoor.Generic.792814 가 6계단급상승한모습을보였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 1 Hosts.media.opencandy.com Host 724,350 2 1 Misc.HackTool.AutoKMS ETC 426,553 3 1 Trojan.ShadowBrokers.A Trojan 243,388 4 2 Misc.HackTool.KMSActivator ETC 210,818 5 4 Trojan.HTML.Ramnit.A Trojan 156,163 6 5 Misc.Keygen ETC 137,545 7 New Gen:Variant.Johnnie.248927 ETC 133,964 8 6 Backdoor.Generic.792814 Backdoor 113,244 9 New Generic.Brontok.8CAE5D8F Trojan 105,791 10 3 Gen:Trojan.Dropper.RQU.Ev1@aGUXIJfO Trojan 91,432 11 1 Misc.Riskware.TunMirror ETC 88,620 12 New Worm.ACAD.Bursted Worm 70,803 13 New Worm.ACAD.Bursted.doc.B Worm 62,657 14 New Gen:Variant.Ursu.489129 ETC 54,769 15 New Trojan.Agent.EZVL Trojan 51,165 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2020 년 12 월 01 일 ~ 2020 년 12 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서기타 (ETC) 유형이가장많은 40% 를차지했으며트로이목마 (Trojan) 유형이 24% 로그뒤를이었다. 지난달미미한수치를보이던웜 (Adware) 유형의비율이 5% 로소폭상승했으며 11 월과비교하여전체감염건수는약 39% 감소하였다. 트로이목마 (Trojan) 호스트파일 (Host) 27% 트로이목마 (Trojan) 24% 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 백도어 (Backdoor) 4% 기타 (Etc) 40% 웜 (Worm) 5% 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 12 월에는 11 월과비교하여트로이목마 (Trojan) 유형과호스트파일 (Host) 유형의악성코드감염비율이각각 6%, 11% 증가하였다. 또한지난달에는큰비중을차지하지않던웜 (Worm) 악성코드의감염비율이 5% 로증가하였다. 지난 11 월에다수탐지됐던애드웨어 (Adware) 악성코드유형은이번달에는급감하여악성코드탐지율 Top15 내에기록되지못했다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 18% 24% 0% 0% 9% 0% 0% 0% 0% 5% 0% 0% 0% 0% 2% 4% 16% 27% 40% 55% 11 월 12 월 0% 20% 40% 60% 80% 100% 4

2020-12-01 2020-12-02 2020-12-03 2020-12-04 2020-12-05 2020-12-06 2020-12-07 2020-12-08 2020-12-09 2020-12-10 2020-12-11 2020-12-12 2020-12-13 2020-12-14 2020-12-15 2020-12-16 2020-12-17 2020-12-18 2020-12-19 2020-12-20 2020-12-21 2020-12-22 2020-12-23 2020-12-24 2020-12-25 2020-12-26 2020-12-27 2020-12-28 2020-12-29 2020-12-30 2020-12-31 01 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 12 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니처탐지횟수는통계에포함되지않는다. 12 월 1 일부터 12 월 31 일까지총 56,874 건의랜섬웨어공격시도가차단되었다. 11 월에비해랜섬웨어공격건수는약 3.2% 가량감소하였다. 12 월랜섬웨어차단통계 3,000 2,500 2,000 1,500 1,000 500 0 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 12 월한달간총 11,861,707 건의악성코드경유지 / 유포지 URL 이확인되었다. 이수치는 11 월한달간확인되었던 14,565,367 건의악성코드경유지 / 유포지 URL 수에비해약 18% 가량감소한수치다. 악성코드경유지 / 유포지 URL 의경우항상고정적인 URL 만모니터링하는것이아닌, 계속적으로모니터링대상을 확대하고있기때문에월별로증가세와감소세를비교하는부분은참고로만보길바란다. 악성 URL 경유지 / 유포지통계 14000000 12000000 10000000 8000000 6000000 4000000 2000000 0 경유지 유포지 경유지 유포지 5

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 2020 년 4 분기, 알약랜섬웨어행위기반차단건수 : 172,696 건! 2. 지속적으로유포되는 ' 이미지저작권침해 ' 메일주의 6

02 전문가기고 1. 2020 년 4 분기, 알약랜섬웨어행위기반 차단건수 : 172,696 건! 2020 년 4 분기, 알약을통해총 172,696 건의랜섬웨어행위기반공격이차단된것으로확인되었습니다. 이번통계는개인사용자를대상으로무료제공하는공개용알약의 랜섬웨어행위기반차단기능 을통해차단된 공격만을집계한결과로, 패턴기반탐지건까지포함한다면전체공격은더욱많을것으로예상됩니다. 통계에따르면, 2020 년 4 분기알약을통해차단된랜섬웨어공격은총 172,696 건으로, 이를일간기준으로환산하면 일평균약 1,910 건의랜섬웨어공격이차단된것으로볼수있습니다. 다만, 2018 년부터현재까지약 2 년에걸쳐 전체랜섬웨어공격건수는지속적으로감소되고있는추세를보이고있습니다. [ 그림 ] 알약랜섬웨어행위기반차단기능 ' 을통해차단된 2020 년 4 분기랜섬웨어공격통계 ESRC 는 2020 년 4 분기랜섬웨어주요동향을다음과같이선정하였습니다. 1) 국내유명유통대기업을대상으로하는 Clop 랜섬웨어캠페인으로큰피해발생 2) ' 비너스락커 ' 그룹이유포하는 RaaS 형태의 Makop 랜섬웨어공격꾸준히발생 3) LockBit, MalLocker, RansomEXX 등새로운버전을사용한랜섬웨어공격다수발생 7

02 전문가기고 2020 년 4 분기에는다양한사회적이슈를활용하여사용자로하여금랜섬웨어이메일첨부파일을열어보도록 유도하는 Clop, Sodinokibi, Makop 랜섬웨어가꾸준히상위권을유지했으며, 랜섬웨어공격건수는 10 월과 11 월에 다소증가하였다가 12 월에는감소추세를나타냈습니다. 4분기에는주목할만한위협으로는 11 월에발생한 Clop 랜섬웨어의국내유통대기업을타깃으로하는공격으로해당기업은상당한금전적피해를입었습니다. Clop 랜섬웨어해커들은사전에기업내부시스템을조사하여맞춤형악성파일을사용해공격을수행하는치밀함을보였으며, 확장명을변경하는이전변종들과달리원본파일명을그대로사용함으로써피해자들의의심을피할수있었습니다. 10 월에는 Sodinokibi 랜섬웨어해커들이파일리스기반의새로운변종을사용하여공격을수행한것으로확인되었습니다. 악성코드는주로피싱페이지에서의다운로드를통해유포되며, 취약한 Wordpress 환경에서악성게시글을포스팅하여사용자를유인하는방식을사용했습니다. 12 월에는 Gootkit 정보탈취트로이목마가독일을타깃으로하는새로운캠페인에서 Sodinokibi 랜섬웨어를유포한정황도확인되었습니다. 또한비너스락커그룹이 10 월부터 12 월까지 Makop 랜섬웨어를꾸준히유포한것으로확인되었습니다. 주로이력서, 저작권위반, 부당전자상거래위반등의테마를활용한스피어피싱공격을수행하였습니다. 이밖에도 LockBit, MalLocker, RansomExx 등기존의방식에새로운기능을추가하여공격을수행한여러랜섬웨어가확인되었습니다. 은밀하게내부네트워크이동을통해감염을시도하는 LockBit 랜섬웨어, 이전버전에서는활용한적없는안드로이드홈버튼을통해랜섬노트를표시하고, 오픈소스기계학습모듈을사용해오버레이화면을기기화면크기에자동으로맞추는기능을탑재하여등장한 MalLocker 랜섬웨어, 리눅스버전을개발해운영을확대하고있는 RansomExx 랜섬웨어등이대표적입니다. ESRC 센터장문종현이사는 2020 년 4분기내유포된랜섬웨어중비너스락커조직이 Makop 랜섬웨어를지속활용한정황이수십차례포착된바있다." 고언급하며,"ESRC 에서선정한주요동향외에도해외기업과산업시스템을주로노렸던대규모의랜섬웨어캠페인의경우국내에서는아직피해사례가확인되지않았으나미리대비하는자세가필요하다." 고강조했습니다. 이밖에 ESRC 에서밝힌 2020 년 4 분기에새로발견되었거나, 주목할만한랜섬웨어는다음과같습니다. 8

02 전문가기고 랜섬웨어명 Clop Myransom CoderWare RegretLocker Fonix Ranzy Locker Nefilim Sodinokibi Makop 주요내용주로기업을대상으로공격을수행하는랜섬웨어로기업내부시스템을사전에조사하여맞춤형악성파일을사용함으로써사전차단이어려운것이특징. 또한기존변종들은암호화된파일확장명을변경하는방식으로진행되었지만, 최근공격에서는원본파일명을그대로유지함. PDF 가아닌 PDX 파일아이콘을사용하는랜섬웨어로일반적인랜섬웨어와다르게확장자변경이이루어지지않는점이특징. White 랜섬웨어로도알려져있으며최근국토교통부를사칭해청년인턴관련내용으로파일실행을유도함으로써감염을시도함. 유명콘솔게임 'Cyberpunk 2077' 으로위장한윈도우 / 모바일랜섬웨어로 BlackKingdom 랜섬웨어의변종으로확인됨. 불법복제버전소프트웨어로위장해게임인스톨러, 치트엔진, 크랙등의이름으로유포됨. 가상하드드라이브 (VHD) 를암호화하는랜섬웨어로암호화시작전디스크검사를통해가상하드디스크파일을찾아오프라인이거나분리되어있는경우재연결하여내부파일암호화진행하는것이특징. 비교적새로운형태의서비스형랜섬웨어로다양한사이버범죄포럼에서여러제품형태로판매됨. 기존의 RaaS 와달리 4가지암호화방법을조합하여사용하기때문에암호화속도가느리며, 감염후사이클이복잡하여운영이쉽지않은것이특징. Windows 가상머신을대상으로공격을수행하는 ThunderX 랜섬웨어변종. 이전버전복호화툴이공개된후새롭게유포되었으며, 주요특징들은이전과유사함. 많은랜섬웨어공격방식과유사하게, 데이터유출을빌미로협박하는이중탈취기법을사용함. 유효한디지털서명이포함된기업표적형랜섬웨어로기업네트워크에침투하여정보를외부로유출한후마지막단계에서파일암호화행위를진행하는것이특징. 최근미국가전회사를대상으로정보유출협상을시도하였으나실패함. 최근파일리스기반의새로운방식을도입한랜섬웨어로, BlueCrab 이라는이름으로도알려짐. 취약한 Wordpress 환경의웹서버를탈취한후, 악성게시글을통해다운로드페이지로위장한피싱페이지를유포함. 주로비너스락커조직이유포하는랜섬웨어로최근기존의파일기반에서레지스트리방식의파일리스기반으로변화한것이특징. 이를통해윈도우부팅시마다자동재실행되도록함으로써공격성공률을높임. 랜섬웨어유포케이스의대다수는이메일형태지만, 코로나 19 바이러스확산방지를위해재택근무를수행하는 임직원이증가함에따라기업내부망접속을위해사용되는재택근무단말기 OS/SW 보안업데이트점검을 의무화하고임직원보안인식교육도병행해야합니다. 이스트시큐리티는랜섬웨어감염으로인한국내사용자피해를미연에방지하기위해, 한국인터넷진흥원 (KISA) 과의 긴밀한협력을통해랜섬웨어정보수집과유기적인대응협력을진행하고있습니다. 9

02 전문가기고 2. 지속적으로유포되는 ' 이미지저작권 침해 ' 메일주의 이미지저작권법위배안내로위장한메일을통해 Makop 랜섬웨어가지속적으로유포되는정황이포착되어일반 사용자와기업담당자들의주의가필요합니다. [ 그림 1] 이미지저작권법침해관련악성메일 10

02 전문가기고 [ 그림 2] 저작권위반내용.alz 파일내용 만일이용자가최종압축파일에있는 이미지원본 ( 제가제작한이미지 ) 과사용하고있으신이미지정리한내용.exe, 저작권법관련하여위반인사항들정리하여보내드립니다.exe 을클릭할경우파일암호화기능의 Makop 랜섬웨어가 실행됩니다. Makop 랜섬웨어는파일암호화기능을수행하는악성코드로암호화된파일뒤에 [ 임의영문 8자리 ].[moloch_helpdesk@tutanota.com].moloch 를추가하고, 이후복호화안내를위해 readme-warning.txt 를드롭합니다. 아래는 makop 랜섬웨어의랜섬노트로 moloch_helpdesk@tutanota.com, moloch_helpdesk@protonmail.ch 메일로연락해달라는내용을담고있습니다. 11

02 전문가기고 [ 그림 3] 랜섬노트 (readme-warning.txt) 파일화면 관련하여 2020 년 12 월중순부터금일확인된메일과유사한형태로보내진정보입니다. 특징적으로송신자이름을 ( 색상 ) + ( 엔젤, 드론, 망고등 ) 의형태로조합한점, 첨부파일이름은한국식이름으로되어있습니다. 이를통해 지속적으로비너스락커조직이국내를대상으로하고있음을알수있습니다. 12

02 전문가기고 송신자이메일 송신자이름 첨부파일이름 info@skoolbook.org 그린엔젤 Lee,JinJoon.zip marek.pokorny@hcjicin.cz 블랙드론 Gil,MinJoon.alz e****@********.co.kr 옐로우망고 Gil,SungWoong.alz e****@********.co.kr 브라운핀 Kim,MinSang.alz mauro.cassano@alphacaesar.it 옐로우마린 Kim,MinSang.alz c.franco@cnjap.pt 화이트엔젤 Gil,MinJoon.alz c.franco@cnjap.pt 그린망고 Oh,HanDong.alz kompo@kompoarredamenti.it 블루망고 Gil,MinJoon.alz contact@ga-immobilier.com 블루핀 Gil,SungWoong.alz [ 표 1] 2020 년 12 월중순부터보내진유사메일종류 따라서저작권이라는민감한소재로사용자들에게첨부파일을실행시키도록유도하기때문에불분명한파일실행을 하지않는등의사용자들의각별한주의가필요합니다. 또한중요한파일들은정기적으로외장매체 (USB, 외장 HDD) 등에백업해두는습관이필요합니다. 현재알약에서는 'Trojan.Ransom.Makop' 으로진단하고있습니다. 13

이스트시큐리티보안동향보고서 03 악성코드분석보고 14

03 악성코드분석보고 [Spyware.AgentTesla] 악성코드분석보고서 최근 Spyware.AgentTesla ( 이하 AgentTesla ) 악성코드가국내기업을대상으로무역관련내용의악성메일로 유포되고있다. 메일첨부파일에있는 New Inquiry #20004546.gz 내 New Inquiry #20004546.exe 에서실행이 이루어진다. [ 그림 1] 무역관련내용으로위장한악성메일 실행되는 AgentTesla 는 SMTP 를통해 C&C 로감염 PC 의정보를전송하는악성코드이다. 따라서감염될경우 사용자들이사용하는크리덴셜정보들이공격자에게노출될수있어주의가필요하다. 또한기업혹은최근재택근무환경에서감염이되는경우, 크리덴셜정보의유출에따른피해가발생할수있어주의가 필요하다. 현재알약에서는 Spyware.AgentTesla 로진단하고있으며, 관련상세분석보고서는 Threat Inside 웹서비스구독을 통해확인이가능하다. 15

03 악성코드분석보고 [Trojan.Android.AgentNK] 악성코드분석보고서 북한의사이버공격이지속적으로이어지고있다. PC 환경은물론모바일기기를향한공격빈도도증가하고있다. 김수키 (Kimsuky) 로도알려진탈륨 (Thallium) 그룹이유포한 Trojan.Android.AgentNK 는피해자의개인정보탈취를 목적으로하고있다. 개인의일상과밀접하게연결된모바일기기의특성상개인정보가많을수밖에없으며공격자들은이점을노리고 모바일기기대상의악성앱을유포하는것이다. [ 그림 ] 설치시화면 분석내용을살펴보면 Trojan.Android.AgentNK 는피해자의개인정보탈취를주요목적으로하고있음을알수있다. 그리고탈취한개인정보들을바탕으로추가공격을감행할것으로판단된다. 이런공격은사용자의예방노력이무엇보다중요하다. 앱설치시본인의스마트폰이위협에노출될수있음을 인지하고주의를기울여야하며알약 M 과같은신뢰할수있는백신을사용하여야하겠다. 현재알약 M 에서는해당앱을 Trojan.Android.AgentNK 탐지명으로진단하고있으며, 관련상세분석보고서는 Threat Inside 웹서비스구독을통해확인이가능하다. 16

이스트시큐리티보안동향보고서 04 글로벌보안동향 17

04 글로벌보안동향 Gootkit 악성코드, Sodinokibi 랜섬웨어와함께부활해 Gootkit malware returns to life alongside REvil ransomware 1 년간의공백끝에, Gootkit 정보탈취트로이목마가독일을노리는새로운캠페인과함께부활했다. Gootkit 트로이목마는 자바스크립트기반악성코드로공격자에게원격접속제공, 키로깅, 영상녹화, 이메일탈취, 비밀번호탈취, 온라인은행 자격증명을훔치기위해악성스크립트를주입하는등다양한악성행위를수행한다. 2019 년, Gootkit 공격자들은인터넷에 MongoDB 데이터베이스를노출해정보유출사고를겪었다. 이사건이후 GootKit 공격자들은이번달다시공격을시작하기전까지활동을중단한것으로알려져있다. GootKit, 랜섬웨어와의파트너십통해부활 The Analyst 로알려진한보안연구원은 BleepingComputer 에독일을노린공격에서 Gootkit 악성코드가다시발견되었다고제보했다. 공격자는이새로운악성캠페인을통해워드프레스사이트를해킹하고 SEO 포이즈닝을통해방문자에게가짜포럼게시물을표시한다. 이가짜게시물은가짜양식또는다운로드로연결되는링크를포함한질답으로위장한다. [ 그림 ] Gootkit 캠페인에서발견된가짜포럼게시물 [ 이미지출처 ] https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revilransomware/ 18

04 글로벌보안동향 사용자가링크를클릭하면, Gootkit 악성코드나 Sodinokibi 랜섬웨어를설치하는난독화된 JS 파일이포함된 ZIP 파일을 다운로드하게된다. [ 그림 ] 난독화된 JS 스크립트 [ 이미지출처 ] https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revilransomware/ 이방법과동일한배포방식은 Gootkit 이활동을중단했던시기인 2019 년 9 월 Sodinokibi 가사용했다. Gootkit 과 Sodinokibi, 파일리스공격통해설치돼 Malwarebyte 의연구원들은보고서를통해해당악성 JavaScript 페이로드가파일리스 Gootkit 또는 Sodinokibi 공격을실행할것이라설명했다. 이 JavaScript 가실행되면, 명령및제어서버에연결해악성코드페이로드를포함한또다른스크립트를다운로드한다. Malwarebytes 의분석에따르면, 이페이로드는보통 Gootkit 이지만일부경우 Sodinokibi 랜섬웨어가나오기도한다. 이페이로드는 base64 로암호화되었거나, 텍스트파일에 16 진수문자열형태로저장되어있거나아래와같이수많은윈도우레지스트리값으로분할된다. 19

04 글로벌보안동향 [ 그림 ] 윈도우레지스트리에저장된페이로드 [ 이미지출처 ] https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revilransomware/ 이로더는결국레지스트리또는텍스트파일의페이로드를읽고디코딩한다음파일없이메모리에서직접프로세스를시작한다. 난독화된페이로드를사용하고레지스트리에조각으로분리해저장할경우보안소프트웨어가악성페이로드를탐지하기어려워진다. The Analyst 는이악성캠페인을테스트하던중흥미로운사실을발견했다. 바로 Sodinikibi 가이전공격에사용된랜섬노트를드롭한다는것이다. 20

04 글로벌보안동향 [ 이미지출처 ] https://twitter.com/ffforward/status/1331371583890485257 이오류는공격자들이캠페인을배포할때 Sodinokibi 랜섬웨어를새버전으로교체하는것을잊어버렸기때문에발생한 것으로추측된다. [ 출처 ] https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revil-ransomware/ https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/ 21

04 글로벌보안동향 범죄자들, 블랙박스공격 통해이탈리아 ATM 에서 80 만유로훔쳐 Crooks stole 800,000 from ATMs in Italy with Black Box attack 한범죄조직이새로운블랙박스 (Black Box) 공격기법을사용하여이탈리아은행에서운영하는 ATM 과우체국현금 지급기최소 35 곳에서돈을훔친것으로나타났다. 이탈리아의법집행기관은해당사이버범죄조직이 ATM 블랙박스 공격을통해약 7 개월만에약 80 만유로 ( 한화약 10 억 6 천만원 ) 를훔쳤다고밝혔다. [ 이미지출처 ] https://twitter.com/bank_security/status/1332335834234818561 이탈리아경찰은이사건과관련된 12 명을확인했으며, 중 6 명은이미체포했고 3 명은폴란드에서제한된상태이며 1명은몰도바로돌아왔으며 2명은이탈리아영토에있지않을것이라추측된다고밝혔다. 현지언론에따르면, 이범죄그룹은밀라노, 몬차, 볼로냐, 모데나, 로마, 비테르보, 만투아, 비첸차, 파르마지방에수많은물류기지를소유하고있었던것으로나타났다. 블랙박스공격은 블랙박스 기기를통해 ATM 기계가현금을내놓도록하는명령어를보내는일종의 22

04 글로벌보안동향 잭포팅 (jackpotting) 공격이다. 이공격을실행하기위해서는모바일기기나라즈베리와같은블랙박스기기가 ATM 에물리적으로연결되어야한다. 공격자는이를이용하여기기에명령을보낼수있다. ATM 블랙박스공격은언더그라운드에서꽤인기있는공격방식이며, 여러공격자들은 ATM 기기를해킹할수있는하드웨어장비와악성코드를제공하고있다. 해킹된 ATM 기기목록은다음과같다. - UFF PP TT 12/07/2020 BELLUSCO - BANCA POPOLARE DI NOVARA 07/16/2020 CRODO - BPM 07/18/2020 WEEKLY - BPM 07/20/2020 MORAZZONE - UFF PP TT 03/08/2020 SANT ILARIO D ENZA - CASSA SAVINGS 04/08/2020 SAONARA - UFF PP TT 08/05/2020 CARUGATE - UFF PP TT 08/08/2020 PESSANO WITH BORNAGO - UFF PP TT 08/18/2020 SEVESO - UFF PP TT 08/19/2020 FAGNANO OLONA - BBPM 08/21/2020 COMO - BANCA INTESA 08/27/2020 GRONTARDO - BBPM 01/09/2020 BREMBATE DI ABOVE - UFF PP TT 01/09/2020 SIZIANO - UFF PP TT 02/09/2020 MELZO - UFF PP TT 09/04/2020 CARATE BRIANZA - UFF PP TT 07/09/2020 SENAGO - UFF PP TT 11/09/2020 BRESCIA - BPM 11/09/2020 PARMA - UFF PP TT 09/14/2020 BUSNAGO - BBPM 09/18/2020 ROZZANO - BBPM 09/18/2020 CARONNO PERTUSELLA - UFF PP TT 21/09/2020 GHEDI - BBPM 09/22/2020 CASARILE - BBPM 09/24/2020 MACHERIO - BBPM 09/30/2020 RESCALDINA - BBPM 09/30/2020 LIMENA - VOLKS 21/10/2020 VILLAVERLA - UNICREDIT 22/10/2020 GRISIGNANO DI ZOCCO 23

04 글로벌보안동향 - BANCO S. MARCO 10/28/2020 SPINEA - BANCA CAMBIANO 10/30/2020 MONTELUPO FIORENTINO - BBPM 11/06/2020 BIASSONO - BBPM 11/8/2020 Santo Srefano Ticino - BCC 10/11/2020 Junction of Capannelle (RM) - OFFICE PP. TT. 11/11/2020 Vermicino- Frascati [ 이미지출처 ] https://twitter.com/bank_security/status/1332335834234818561 공격자는보안이취약한 ATM 에서모바일기기를연결하기위해케이스를쉽게조작할수있기때문에이러한공격에더욱취약하다고볼수있다. 지난 7월, ATM 기계제조업체인 Diebold Nixdorf 는모든은행에 ATM 블랙박스의새로운변종, 잭포팅공격에대해경고했다. 이경고는벨기에의 Agenta Bank 에서잭포팅공격을받아 143 대이상의 ATM 을강제로종료한후발행되었다. 해킹된기기는모두 Diebold Nixdorf ProCash 2050xe 장치였다. 벨기에당국이벨기에에서이러한범죄행위를발견한것은이번이처음이다. Diebold Nixdorf 에서발행한경고에따르면, 새로운블랙박스공격은유럽전역의특정국가에서나타났다. [ 출처 ] https://securityaffairs.co/wordpress/111659/cyber-crime/black-box-attack-italy.html https://www.gazzettadiparma.it/italiamondo/2020/11/24/news/attacchi_informatici_da_800mila_euro_ai_bancomat_sgominata_banda_una _delle_basi_era_parma-4646532/ 24

04 글로벌보안동향 Gitpaste-12 봇넷, 리눅스서버와 IoT 기기노려 Wormable Gitpaste-12 Botnet Returns to Target Linux Servers, IoT Devices 타깃시스템에크립토마이너와백도어를설치하고 GitHub 과 Pastebin 을통해확산되는새로운웜봇넷이웹애플리케이션, IP 카메라, 라우터를해킹하기위한기능을확장하여돌아왔다. 11 월초, Juniper Threat Labs 의연구원들은악성코드를호스팅하기위해 GitHub 을사용하는 "Gitpaste-12" 라는크립토마이너캠페인을발견했다. 이악성코드는 Pastebin URL 에서다운로드한명령을통해실행되는알려진공격모듈 12 개를포함하고있었다. 이공격은지난 10 월 15 일시작해 10 월 30 일 Pastebin URL 과저장소가중단되기전까지 12 일동안진행되었다. Jupiter 에따르면, 11 월 10 일두번째공격웨이브는다른 GitHub 저장소의페이로드를사용하여시작되었다. 이페이로드는 Linux 크립토마이너 ("ls"), 브루트포싱공격을위한비밀번호목록파일 ("pass"), x86_64 리눅스시스템에대한로컬권한상승익스플로잇을포함하고있었다. 초기감염은 Go 프로그래밍언어로작성된바이너리인 X10- unix 를통해이루어진다. 이는 GitHub 에서다음단계페이로드를다운로드한다. Juniper 의연구원인 Asher Langton 은지난월요일발표한분석을통해아래와같이밝혔다. 이웜은알려진취약점최소 31 개를악용하여웹애플리케이션, IP 카메라, 라우터등을노리는광범위한공격을 수행한다. 이중 7 개는이전 Gitpaste-12 샘플에서도찾아볼수있었다. 또한오픈 Android Debug Bridge 커넥션및 존재하는악성코드백도어를해킹하려시도한다. [ 이미지출처 ] https://blogs.juniper.net/en-us/threat-research/everything-but-the-kitchen-sink-more-attacks-from-the-gitpaste-12-worm 이취약점 31 개목록에는 2020 년발견된원격코드취약점인 F5 BIG-IP Traffic Management (CVE-2020-5902), Pihole Web (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987), vbulletin (CVE-2020-17496), SQL 인젝션 취약점인 FUEL CMS (CVE-2020-17463) 가포함되어있었다. 지난 10 월, Mirai 봇넷의새로운변종인 Ttint 가 DoS 공격, 악성명령실행, 원격접근을위한리버스셸구현이가능한 RAT 을확산시키기위해 CVE-2020-10987 을포함한 Tenda 라우터제로데이취약점 2 개를악용하고있는것이 발견되었다. 25

04 글로벌보안동향 이악성코드는 X10-unix 와모네로크립토마이닝소프트웨어를설치하는것이외에도포트 30004 와 30006 을리스닝하는백도어를오픈하고, 피해자의외부 IP 주소를개인 Pastebin 에업로드하고, 포트 5555에서 Android Debug Bridge 연결을시도한다. 성공적으로연결될경우안드로이드 APK 파일인 "weixin.apk" 를다운로드한다. 이는 X10- unix 의 ARM CPU 버전을설치한다. Junipe 의연구원들은최소 100 개이상의호스트가이감염을전파하고있는것으로추정했다. [ 출처 ] https://thehackernews.com/2020/12/wormable-gitpaste-12-botnet-returns-to.html https://blogs.juniper.net/en-us/threat-research/everything-but-the-kitchen-sink-more-attacks-from-the-gitpaste-12-worm https://blogs.juniper.net/en-us/threat-research/gitpaste-12 26

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0