2024-03-29 15:00 (금)
랜섬웨어 전파 목적 익스플로잇 키트 ‘폴아웃’ 발견돼
상태바
랜섬웨어 전파 목적 익스플로잇 키트 ‘폴아웃’ 발견돼
  • 길민권 기자
  • 승인 2018.09.17 17:52
이 기사를 공유합니다

사용자 브라우저 프로필 검사해 표적과 일치할 경우 악성 콘텐츠 퍼뜨려

▲ 파이어아이 블로그 이미지
▲ 파이어아이 블로그 이미지
올해 8월 말, 한국, 일본, 중동, 남유럽, 아태 지역 사용자를 공격하는 멀버타이징(Malvertising) 캠페인에 사용되는 새로운 익스플로잇 키트가 발견됐다.

일명 ‘폴아웃(Fallout) 익스플로잇 키트’는 지난 8월 24일 ‘finalcountdown[.]gq’라는 도메인에서 처음으로 발견되었으며 8월 29일 도쿄의 한 연구원이 해당 캠페인을 확인한 후 ‘폴아웃’으로 명명했다.

파이어아이 측은 이번 연구를 통해 해당 캠페인과 연관된 도메인, 지역 및 페이로드(payload)가 더 있다는 사실을 확인했다. 일본 사용자를 겨냥한 ‘스모크로더(SmokeLoader)’ 이외에도 중동 지역 사용자를 노린 ‘갠드크랩(GandCrab)’이라는 랜섬웨어가 폴아웃을 통해 퍼지고 있다.

폴아웃 익스플로잇 키트는 사용자의 브라우저 프로필을 검사해 표적과 일치할 경우 악성 콘텐츠를 퍼뜨린다. 표적일 경우, 사용자는 302개의 리디렉션을 통해 진짜 광고 페이지가 아닌 익스플로잇 키트 랜딩 페이지의 URL로 접속된다.

해당 익스플로잇 키트의 랜딩페이지 URI는 지속적으로 변할 뿐만 아니라 패턴을 도출하기에 지나치게 포괄적이라, 특정 패턴에 기반한 탐지에 의존하는 IDS(Intrusion Detection System) 솔루션으로는 확인이 어렵다. 사용자의 브라우저와 OS 프로필, 사용자의 위치에 따라 익스플로잇 키트가 바로 설치되거나 소셜 엔지니어링 공격을 통해 익스플로잇 키트가 설치되는 사례도 있는 것으로 나타났다.

이러한 전략은 파이어아이가 지속적으로 확인해 온 소셜 엔지니어링 공격 증가와도 일관적인 양상을 보인다. 업데이트가 잘 된 시스템 또는 OS와 소프트웨어를 갖춘 사용자는 소프트웨어 취약점을 노린 익스플로잇으로 공격하기 어려워, 이러한 경우 공격자는 소셜 엔지니어링 공격을 활용한다. 이번 캠페인과 연관된 멀버타이징 리디렉션은 북미의 소셜 엔지니어링 캠페인에도 사용되었으며, 파이어아이는 정부, 통신, 헬스케어 분야의 관련자들이 이번 캠페인에 특히 주의해야 한다고 밝혔다.

지난 몇 년에 걸친 검거와 지하단체가 활동을 중단하면서 큰 영향력을 자랑하며 널리 쓰이던 일부 익스플로잇 키트는 사라졌다. 이로 인해 오늘날 익스플로잇 키트 시장은 큰 타격을 입었지만, 여전히 패치를 잘 하지 않는 사용자에게는 무시할 수 없는 위협이다. 최근 파이어아이는 보안이 더 취약한 소프트웨어를 활용하는 성향이 큰 아시아 태평양 지역 내 익스플로잇 키트 활동을 더 많이 발견하고 있다. 반면, 북미의 경우 익스플로잇 키트 대신 직접적인 소셜 엔지니어링 캠페인이 두드러진 것으로 나타났다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★