시스코 코리아 블로그

2019년, 멀웨어의 해

1 min read



By Jon Munshaw.

랜섬웨어 공격에서 DNS 속이기에 이르기까지, 2019년 사이버 범죄는 그 어느 때보다 기승을 부렸습니다.

올해는 다양한 멀웨어의 변종들이 등장했으며, Sea Turtle이라는 멀웨어는 최근 들어 가장 대규모의 DNS 탈취 시도를 벌였습니다. BlueKeep도 RDP 취약성이 처음에 발견되었을 당시 논란을 일으켰지만, 방어자들은 여전히 숨을 죽이고 첫 번째 대규모 익스플로잇이 언제 일어날지 대비하고 있습니다.

분주했던 2019년을 마무리하며, 지난 한 해 Talos가 다루었던 멀웨어와 중요 내용들을 월별로 간추려 보았습니다.

 

2

· 범죄자들은 악성 파워포인트를 이용하여 티베트 정부를 ExileRAT에 감염시키려 시도했습니다.

 

 

3

· Talos는 온라인 판매를 노리는 새로운 POS 멀웨어인 “GlitchPOS”를 발견했는데, 이 멀웨어는 누구나 간단하게 신용카드 사기 봇넷을 구성할 수 있을 정도로 사용이 간편합니다.

 

 

4

· Talos는 노골적인 이름으로 신용카드 데이터 판매나 기타 멀웨어 서비스를 포함하여 다양한 악의적 활동을 저지르는 악의적 단체 명단을 Facebook에 공개했습니다.

· DNS 탈취 공격이 인기를 얻으며 “Sea Turtle”이 기승을 부렸습니다. Sea Turtle은 정상적인 DNS 주소를 스푸핑하여 주로 중동과 북아프리카에 위치한 국가 안보 조직 등의 공공 및 민간단체를 노립니다.

· 또다른 DNS 탈취 캠페인인 “Karkoff”는 DNS 탈취 범죄를 저지르는 범죄자들이 탐지를 회피하고 운영 효율을 개선할 수 있도록 방법을 수정하고 있다는 것을 보여줍니다.

 

5

· Qakbot 뱅킹 멀웨어는 트로이 목마가 잔존하고 잠재적으로 탐지를 회피할 만큼 진화했습니다.

· Talos는 “BlackWater”를 발견했으며, 이 트로이 목마가 MuddyWater APT와 관련이 있다고 짐작하고 있습니다.

· “웜으로 바뀔 수 있는” Microsoft 취약성, 이른바 “BlueKeep”이 발견되었습니다. 연구자들은 이 원격 데스크톱 프로토콜 버그가 WannaCry와 유사한 공격으로 이어질 수 있다고 우려하고 있습니다. Talos는 이 취약성 보호를 위한 새로운 Snort 규칙을 발표하였고, Cisco Firepower를 이용하여 방어하는 방법을 설명하였습니다.

 

6

· Talos가 “Frankenstein”이라 명명한 캠페인을 통해, 범죄자들은 여러 오픈 소스 프로젝트를 병합하고 피해자의 컴퓨터에 멀웨어를 설치하고 있습니다.

· Talos는 새로운 Spelevo 익스플로잇 키트에 대한 자세한 내용을 공개하며 익스플로잇 키트가 건재함을 과시했습니다.

 

7

· RAT와 정보 탈취범들이 잘 알려진 “Heaven’s Gate” 익스플로잇을 활용하여 감염을 일으켰습니다.

· Sea Turtle이 새로운 DNS 탈취 기술을 탑재하고 표적을 확대하여 다시 돌아왔습니다.

· 미국 내 도시들, 특히 볼티모어가 랜섬웨어 공격에 시달리고 있습니다. 전문가들은 랜섬웨어 피해자들이 랜섬을 지불하는 것이 옳은지를 두고 의견이 엇갈리고 있습니다.

 

9

· 여름이 지나고 Emotet이 새로운 IOC들과 함께 돌아왔지만, 아직은 예전과 같은 보호 조치로 보호할 수 있습니다.

· Tortoiseshell APT는 제대한 미국군을 노리는 가짜 채용 웹사이트를 통해 멀웨어를 다운로드시켜 피해자를 감염시킵니다.

· ODT 파일 형식은 멀웨어가 기존 탐지 기술을 피할 수 있어 범죄자들 사이에서 인기를 얻고 있습니다.

 

10

· 희귀한 iOS 탈옥 프로그램으로 알려진 “checkra1n”은 사실 범죄자들이 아이폰을 탈옥시키는 프로그램으로 가장한 멀웨어 설치를 위한 프로그램이었습니다.

· Talos는 합법이지만 도덕적인 경계가 희미한 영역에서 저질러지는 범죄에 활용되는 스파이웨어 소프트웨어들을 발견했습니다.

 

11

· BlueKeep이 보이지 않는 곳에서 악용되고 있다는 보고가 처음으로 나왔지만, 대규모 캠페인의 일부임을 시사하는 증거는 없습니다.

 

댓글 쓰기