2024-03-29 03:20 (금)
Oni 랜섬웨어, 일본 기업에 APT 공격 정황 포착…한국도 주의
상태바
Oni 랜섬웨어, 일본 기업에 APT 공격 정황 포착…한국도 주의
  • 길민권 기자
  • 승인 2017.11.10 00:04
이 기사를 공유합니다

▲ 이스트시큐리티 블로그.
▲ 이스트시큐리티 블로그.
최근 사이버리즌(Cybereason)은 일본 기업을 표적으로 하는 랜섬웨어 'Oni'의 공격활동에 대한 정보를 발표했다.

Oni는 7월에 사일런스(Cylance)가 보고한 랜섬웨어다. 일본어로 쓰여진 협박문 등을 표시하는 특징을 보면 일본기업을 표적으로 하는 사이버공격으로 간주되었다.

사이버리즌(Cybereason)은 지난 10월31일, 일본기업 표적 랜섬웨어 ‘Oni’의 공격활동에 대한 상세한 정보를 발표했다. ‘MBR-ONI’도 새롭게 발견되는 등 감염된 기업에서 금전탈취를 노린 교묘한 수법이 판명되었다.

Oni공격은 적어도 2016년 12월에 시작해 2017년 9월경까지 계속된 것으로 추정된다.

공격에는 '영수증' 등 제목과 함께 매크로가 포함된 악성 Office 첨부파일이 포함된 이메일이 사용된다. 만약 사용자가 첨부파일을 실행하여 매크로를 활성화 한다면, 사용자 컴퓨터에 ‘Ammyy Admin RAT’이 설치된다.

공격자는 이 RAT를 이용해 네트워크에 연결되어 있는 파일서버 및 어플리케이션 서버에도 접근을 시도하며, 저장되어 있는 데이터와 시스템 등의 정보들을 계속 탐색한다. 이 과정에서 워너크라이(WannaCry) 등 랜섬웨어가 사용한 SMB 취약점 이터널블루(EternalBlue)를 악용할 가능성도 존재한다. 마지막으로 공격자는 이러한 침입 및 탐색 흔적들을 모두 삭제하고 Oni와 MBR-Oni 랜섬웨어를 사용해 데이터를 암호화 하거나 컴퓨터를 사용불능으로 만들어 랜섬머니를 요구한다.

Oni는 주로 PC 등 엔드포인트에 대한 공격에 사용되며 감염되면 PC의 데이터들은 암호화된다. 파일을 암호화 한 후 확장자를 '.oni'로 변경하기 때문에 여기서 랜섬웨어의 이름이 유래되었다. 한편 MBR-ONI는 파일 서버와 도메인 컨트롤러, Active Directory 서버 공격에 사용되며, MBR을 파괴하는 것으로 밝혀졌다.

보안연구원은 Oni와 MBR-ONI가 동일 공격자에 의해 제작된 것으로 추정하고 있다. 또한 공격 목적은 금전적 이득으로 보이지만, 수개월에 이르는 공격시간과 교묘한 수법, 표적이 된 기업들의 사업 내용 등을 보았을 때 금전적인 이득 이외의 또 다른 목적이 있을 수도 있다고 추정된다고 밝혔다.

공격 받은 기업의 경우, 수백 대의 단말이 Oni에 감염되기 직전 상태에 노출되긴 했지만 심각한 피해에는 이르지 않았다.

이스트시큐리티 측은 “이번 oni의 공격을 일본만의 현상으로 보지 않고 있다. 한국 기어들도‘NotPetya’과 ‘Bad Rabbit’ 등과 마찬가지로 기업을 표적으로 하는 랜섬웨어 공격에 주의해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★