2022-09-27 10:30 (화)
클라우드 기반 서비스 노리는 CERBER 변종 랜섬웨어
상태바
클라우드 기반 서비스 노리는 CERBER 변종 랜섬웨어
  • 길민권
  • 승인 2016.07.24 15:43
이 기사를 공유합니다

개인 및 기업 오피스 365 사용자 타깃으로 하고 있어 주의
기업에서 클라우드 서비스 이용을 확장시킴 따라, 사이버 범죄자들 역시 이를 악용해 멀웨어를 호스트하고 전달하는 도구로 사용을 확대해나가고 있다. 사이버 범죄자는 많은 기업들이 클라우드 기반 생산성 플랫폼을 사용하여 민감한 기업 데이터를 관리하는 것을 주목하고, 이러한 클라우드 상의 정보에 접근할 수 없을 경우 기업 운영에 심각한 영향을 미칠 것을 예상하고 있다.
 
위와 같은 상황의 구체적인 예시가 바로 CERBER 크립토 랜섬웨어다. 최근 트렌드마이크로에서 탐지한 CERBER의 변종 RANSOM_CERBER.CAD는 개인 및 기업 오피스 365(Office 365) 사용자를 타깃으로 하고 있는 것을 발견했다.

 
2016년 3월 확인된 CERBER 랜섬웨어군은 서비스거부공격(denial-of-service, DDos) 등의 기능을 추가하며 지속적으로 발전하고 있다. 또한 이중 압축된 윈도우 스크립트 파일(Windows Script File, 확장자 .wsf)을 활용해 동작 감지에 의한 공격 탐지 및 스팸 메일 필터링 우회 기능이 가능하다.
 
또 컴퓨터 기계 음성으로 랜섬노트를 재생하는 독특성을 가진 크립토 랜섬웨어 중 하나이기도 하다. CERBER의 소스코드는 러시아 지하시장에서 ‘서비스형 랜섬웨어(Ransomware-as-a service)’로 거래되고 있어, 사이버 범죄활동의 이익이 확대에 일조하고 있다. 해당 랜섬웨어는 초기 뉴클리어 익스플로익 킷을 이용한 악성광고에 의해 확산되었다.


 
CERBER의 최신 변종은 Office 365 고객을 타깃해 매크로가 조작된 악성 파일을 첨부한 스팸메일 형태로 전송한다. 마이크로소프트는 PC에 설치된 Office 365 및 기타 Office 소프트웨어에 대한 보안 대책을 실시하고 있으며, 이러한 대책의 일환으로 매크로를 이용하는 악성 프로그램 감정을 방지하기 위해 ‘매크로 사용 안 함’이 기본으로 설정되어 있다. 그러나 다른 여러 랜섬웨어와 마찬가지로 CERBER 또한 사회공학적 기법 등을 이용하여 사용자가 이러한 보안 대책을 스스로 해제하여 파일에 내장된 매크로를 수동으로 활성화하도록 유도한다.
 
문서(W2KM_CERBER.CAD)의 매크로를 활성화 할 경우, VBS 코딩된 트로이목마 다운로더(VBS_CERBER.CAD)가 생성되며, 해당 다운로더는 다음의 URL에서 RANSOM_CERBER.CAD를 다운로드 한다.
-hxxp://92[.]222[.]104[.]182/mhtr.jpg
-hxxp://solidaritedproximite[.]org/mhtr.jpg
 
해당 CERBER 변종은 AAES-265와RSA를 조합하여 442 파일 형식을 암호화하는 기능을 제공한다. PC의 ‘IE(Internet Explorer)’의 시간대 설정을 변경하고, 섀도 복사본 제거, 윈도우 시동 복구 기능 비활성화, ‘아웃룩’ 또는 ‘Bat!’, ‘Thunderbird’와 같은 메일 프로그램 프로세스 및 MS워드 프로세스를 종료한다. 그리고 감염된 PC가 위치한 국가가 독립국가연합 중 하나인 경우에는 악성활동을 종료한다.

 
트렌드마이크로는 2016년 5월부터 CERBER 랜섬웨어를 전송하는 스팸메일을 탐지하고 있다. 2016년 6월 눈에 띄는 급증이 발견되었습니다. 5월 스팸메일 탐지수가 800건 정도였던 것에 비해, 6월에는 12,000건 이상이 확인되었다. 최다를 기록한 2016년 6월 22일에는 9,000건 이상의 CERBER 확산 스팸메일이 확인되었습니다. 기타 제로데이 취약점을 이용하여 리그(Rig) 익스플로잇 킷과 마그니튜드(Magnitude) 익스플로잇 킷에 의해 확산되는 새로운 CERBER 변종도 확인되고 있다.
 
CERBER와 같은 크립토랜섬웨어의 작성자는 멀웨어 배포를 확장시키기 위한 여러 새로운 방법을 지속적으로 개발할 것이다. 이번 경우 개인과 기업 사용자를 공격하기 위해 클라우드 기반 플랫폼을 이용했다. 해당 프로그램의 보안 대책이 적절하였음에도 불구하고, 사회공학적기법으로 속이기 때문에, 사용자들은 오피스 프로그램의 매크로를 비활성화 하고 수신인이 불명확한 이메일의 첨부파일을 실행할 때는 특히 더 주의해야 한다. 백업 전략을 가지고 있는 것 또한 랜섬웨어에 대응하는 효과적인 방어다. (트렌드마이크로 보안블로그)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com