보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
알약 1분기 카지노사이트 행위기반 차단 건수: 154,887건!
2021년1분기,알약을통해총154,887건의카지노사이트행위기반공격이차단된것으로확인되었습니다.
이번통계는개인사용자를대상으로무료제공하는공개용알약의‘카지노사이트행위기반차단기능’을 통해차단된공격만을집계한결과로,패턴기반탐지건까지포함한다면전체공격은더욱 많을것으로예상됩니다.
통계에따르면,2021년1분기알약을통해차단된카지노사이트공격은총154,887건으로,이를일간기준으로환산하면일평균약1,720건의카지노사이트공격이차단된것으로볼수있습니다.다만,2019년부터현재까지약2년에걸쳐전체카지노사이트공격건수는지속적으로감소하는추세를보이고있습니다.
ESRC는2021년1분기카지노사이트주요동향을다음과같이선정하였습니다.
1) MS Exchange Server취약점 악용하는DearCry, Black Kingdom카지노사이트 등장
2)국내 유명 자동차 제조 기업,카지노사이트 공격으로 데이터 유출 피해 발생
3) '비너스락커'그룹이 유포하는Makop카지노사이트 공격 꾸준히 발생
4) Emotet, Netwalker카지노사이트 무력화 및Ziggy카지노사이트 운영 종료
2021년1분기에는 이메일 내 입사 지원서,이력서,포트폴리오 등으로 위장한 첨부파일 형태로 유포되는Makop카지노사이트가 꾸준히 상위권을 유지했으며,랜섬 머니 지불을 강요하기 위해DDoS공격 및 언론인과 피해자의 사업 파트너에게 음성 전화를 시도하는 등 새로운 전략을 추가한Sodinokibi카지노사이트 공격이 등장했습니다.또한 카지노사이트 공격 건수는 지난해4분기에 비해 전반적으로 감소 추세를 나타냈습니다.
1분기에주목할만한위협으로는지난3월에등장한DearCry, Black Kingdom카지노사이트가 눈에 띕니다. 3월 초부터 이슈가 되고 있는Microsoft Exchange서버의‘ProxyLogon’취약점(CVE-2021-26855)를 악용하며 미국,캐나다,영국,독일,호주 등 전 세계 다양한 국가를 타깃으로 공격을 감행하고 있습니다.
또한Doppelpaymer카지노사이트 그룹이 현대기아자동차의 기업 내부 자료를 다크웹에 대거 공개했습니다. Doppelpaymer해커들이 운영하는 다크웹 사이트에는 실제로 현대기아차를 비롯해 현대글로비스 등 관련 계열사 데이터가 대거 발견되었고,해당 데이터에는 제니시스 자동차 도면,기업 재무 자료,내부 직원 아웃룩 이메일 백업 파일 등 민감한 문서들도 포함되었습니다. Doppelpaymer운영자들은 거액의 협상 금액을 제시하며 탈취한 대규모 내부 정보를 다크웹에 유출하겠다고 협박했으며,기아차 미국 법인에서는IT서비스 장애가 며칠간 지속되었습니다.
1월부터3월까지 비너스락커 그룹이 유포하는Makop카지노사이트도 꾸준히 발견되었습니다. Makop공격자들은 주로 입사지원서,이력서,경력 사항,포트폴리오 또는 이미지 저작권 관련 문서로 위장한EXE파일을 첨부한 스피어피싱 이메일 형태로 카지노사이트를 유포했으며,기존에 주로 사용하던HWP, PDF 방식에서Word아이콘으로 변경하고,암호화 파일에 추가하는 확장명을 변경해가며 탐지망을 교묘히 피해가는 수법을 보이고 있습니다.
2021년1분기에는 또한 여러 국제 수사 기관들의 공조로Netwalker카지노사이트와Emotet등 유명 악성코드 조직이 무력화되었으며,이로 인해Ziggy카지노사이트 운영자들이 스스로 운영을 중단하겠다 선언하고 피해자들에게 복호화 키를 공개하기도 했습니다.
이밖에도첫 기업용 카지노사이트인Babuk Locker가 발견되었으며,웜 기능을 갖춘Ryuk카지노사이트 변종이 발견되었습니다. 2021년부터 새롭게 활동을 시작한Babuk Locker는 피해자에 따라 고유 확장자,랜섬노트, Tor URL등을 달리 하였고,안전한 암호화 알고리즘을 사용해 파일 복구를 방지했습니다.또한 피해자로부터 탈취한 데이터를 유출하겠다고 협박하는 이중 갈취 전략을 사용하며,데이터 유출을 위한 사이트도 개설하겠다는 계획도 밝혔습니다. 3월에 발견된Ryuk카지노사이트의 새로운 변종에는 웜 기능이 포함되어,피해자의 로컬 네트워크 내에 있는 다른 장치로 확산이 가능합니다.전파는 실행 파일을 식별된 네트워크 공유에 복사하는 방법으로 이루어지며,원격 시스템에서 예약 작업을 생성해 해당 프로세스를 지속적으로 반복합니다.
ESRC센터장문종현이사는“2021년1분기내유포된카지노사이트중비너스락커조직이Makop카지노사이트를 지속 활용한 정황이 수십 차례 포착된 바 있다."고 언급하며, “카지노사이트 공격 양상이 기존의 공격 방식에서 새로운 기능을 추가하거나 여러 공격 기법을 결합한 형태로 점점 진화하고 있기 때문에 관련 기업과 개인들은 주기적인 백업 및 안전한 보안 시스템 구축 등을 통해 미리대비하는자세가필요하다."고강조했습니다.
이밖에ESRC에서밝힌2021년1분기에새로발견되었거나,주목할만한카지노사이트는다음과같습니다.
카지노사이트 명 | 주요 내용 |
Babuk Locker | 주로 기업 피해자를 노리는'사람이 운영하는(human-operated)'카지노사이트로,확장 프로그램,랜섬노트, Tor URL이 피해자 별로 커스텀되어 있음.코딩 형태가 전문적이지는 않지만, Elliptic-curve Diffie–Hellman알고리즘이 포함된 안전한 암호화를 사용해 피해자가 파일을 무료로 복호화할 수 없도록 예방함. |
DearCry | Microsoft Exchange서버의ProxyLogon취약점을 악용하는 카지노사이트로,설치된 후 ‘msupdate’라는 비정식 윈도우 서비스 종료를 시도함.파일 암호화를 위해AES-256및RSA-2048을 사용하며,암호화된 각 파일의 시작 부분에'DEARCRY!'문자열을 추가함. |
Black Kingdom | DearCry카지노사이트와 마찬가지로, Microsoft Exchange서버의ProxyLogon취약점을 악용하는 카지노사이트로, Pulse VPN취약점을 악용하여 기업 네트워크를 해킹한 공격에도 사용된 바 있으며,윈도우 실행파일로 컴파일된Python스크립트가 카지노사이트 파일로 사용됨. |
HelloKitty | 비디오 게임 업체,전력 회사, IT서비스 기업 등을 노리는 카지노사이트로,탈취한 데이터 유출을 빌미로 사용자를 협박하는 이중 갈취 전략을 사용함.랜섬노트에 피해 기업명,개인정보,탈취된 데이터 양 등의 정보가 포함되며,랜섬 지불 기한을1-2일로 제한하여 빠른 랜섬 지불을 유도하고 피해자의 추가 대응을 방지함. |
Vovalex | Ccleaner시스템 최적화 프로그램의 설치 파일로 위장하여 유포되는 카지노사이트로,디지털 서명이 포함된 정상 설치 파일을 사용해 사용자를 속이며,랜섬노트에는 영어와 러시아어를 사용해 모네로(XMR)암호화폐를 지불하도록 요구함. |
Ziggy | 최근 운영을 중단하고 피해자에게 복호화 키 공개 및 랜섬 머니를 환불한 카지노사이트로, SQL파일 내 포함된 키를 사용할 수 있는 복호화 툴을 공개했으며,피해자에게 지정 이메일 주소를 통해 비트코인 결제 증빙 등 랜섬 지불 내역을 보낼 것을 안내함. |
Ryuk | 로컬 네트워크를 통해 자가 확산되는 웜 기능을 갖춘 새로운 변종으로 재등장한 카지노사이트로,실행되면 윈도우RPC접근이 가능한 모든 기기에 자기 자신을 확산시킴.실행 파일을 식별된 네트워크 공유에 복사하는 방법으로 전파가 이루어지며,예약 작업 생성을 통해 지속성을 확보함. |
Sodinokibi | 최근 피해자의 랜섬 지불을 강요하기 위해DDoS공격 및 언론인과 피해자의 비즈니스 파트너에게 음성 통화를 수행하겠다고 협박하는 전략을 추가한 카지노사이트로,홈페이지에 카지노사이트 제휴 파트너에게3계층과7계층DDoS공격을 수행할 수 있는 유료 서비스를 제공한다고 안내함. |
DeroHE | 윈도우 유틸리티 개발 업체IObit포럼으로 위장해 유포되는 카지노사이트로, ZIP첨부파일에는 디지털 서명된 합법적인IObit라이선스 관리자 프로그램 파일을 포함시키며, DLL파일을 서명되지 않은 악성 버전으로 바꿔치기 하는 방법으로 공격을 수행함. |
카지노사이트유포케이스의대다수는이메일형태지만,코로나19바이러스확산방지를위해재택근무를수행하는임직원이증가함에따라기업내부망접속을위해사용되는재택근무단말기OS/SW보안업데이트점검을의무화하고임직원보안인식교육도병행해야합니다.
이스트시큐리티는카지노사이트감염으로인한국내사용자피해를미연에방지하기위해,한국인터넷진흥원(KISA)과의긴밀한협력을통해카지노사이트정보수집과유기적인대응협력을진행하고있습니다.