2024-03-29 08:20 (금)
미 정부 웹사이트 해킹당해 케르베르 랜섬웨어 배포 서버로 활용돼
상태바
미 정부 웹사이트 해킹당해 케르베르 랜섬웨어 배포 서버로 활용돼
  • 길민권 기자
  • 승인 2017.09.05 17:16
이 기사를 공유합니다

r-2.jpg
지난 주 미국 정부 웹사이트가 케르베르(Cerber) 랜섬웨어를 배포하는데 사용 된 자바스크립트를 호스팅한 것으로 드러나 논란이 되고 있다.

해외 보안연구원들은 “미 정부의 웹사이트에서 호스팅 된 JavaScript 멀웨어는 C&C 서버에 연결하는 powershell을 실행했다”고 밝혔다.

이 웹사이트는 난독화 된 PowerShell을 포함한 JavaScript가 들어있는 .zip 압축 파일을 호스팅 했다. 이 PowerShell은 Cerber 실행파일인 gif 파일을 다운로드한다.

이 다운로더는 지난주 수요일 발견되었으며, 몇 시간 내에 악성 코드는 삭제되었다.

공격자들이 어떻게 악성코드를 .gov 사이트에 설치할 수 있었는지, 얼마나 많은 방문자들이 이에 감염 되었는지는 아직까지 확인 되지 않았다.

연구원들은 이 사이트가 해킹 되었다고 생각하며, 또는 이 사이트가 정부 공무원들의 이메일의 첨부파일을 저장하는 사이트로 사용 되었는데, 해당 악성코드가 이메일들 중 하나에 첨부되었을 가능성도 있었다고 밝혔다.

분석에 따르면, 이 gif 실행파일은 Cerber JSON 파일 구성을 추출하는데 사용되는 NSIS 인스톨러였다.

연구원들은 "이 링크는 현재 다운 된 상태지만 압축 된 데이터를 분석 결과 이 특정 페이로드가 Cerber 랜섬웨어임을 확인했다”고 밝혔다. [출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★