Magniber Ransomware로 한국을 타깃으로 하는 Magnitude Exploit Kit

게시일: 2017-10-20 l 작성자: Trend Micro

새로운 랜섬웨어가 Magnitude Exploit Kit 인 Magniber 를 통해 (트렌드마이크로 탐지명 RANSOM_MAGNIBER.A, TROJ.Win32. TRX.XXPE002FF019) 발생되었습니다. 현재 이 랜섬웨어는 공격자가 소유한 도메인 혹은 사이트에 대한 악성 광고를 이용하여 한국 유저들을 겨냥하고 있는 것으로 밝혀졌습니다.

전 세계를 한 번 돌았었던 Magnitude 익스플로잇 킷은 2013년 초반 사이버 범죄 현장에서 서비스로 제공되었지만 시장을 떠난 후 CryptoWall 과 같은 랜섬웨어를 배포하는 개인용 익스플로잇 킷으로 사용되었습니다. 그 후 2016년 하반기에는 아시아 국가들을 중점으로 Locky, Cerber 등과 같은 다양한 랜섬웨어를 배포하는데 사용되었습니다. 2017년 9월 23일부터 활동을 멈추었던 Magnitude 는 10월 15일 다시 돌아왔습니다. Kafeinemalc0de 의 도움으로 트렌드마이크로는 Magnitude 의 새로운 페이로드인 Magniber 를 발견할 수 있었습니다.


그림 1. 2017년 8월 1일부터 10월 18일까지의 Magnitude 익스플로잇 킷의 활동 타임라인.
새로운 페이로드인 Magniber와 재등장하기 전까지 활동이 줄어든 것을 볼 수 있습니다.

Magnitude 는 어디로 갔을까요?

8월 1일부터 10월 17일 사이의 Magnitude 기반의 공격 중 81%는 대만에서 발생되었습니다. 그러나 10월 15일부터 공격 타깃을 한국으로 변경하기 시작했습니다. Magnitude 는 클라이언트 IP 주소 및 시스템 언어의 위치 정보를 사용하여 피해자를 필터링 한 후 악성 광고를 통해 전달됩니다. 이는 탐지를 피하고 보안 연구가들로부터 활동을 숨기기 위해 사용되는 사이버 범죄 캠페인의 주요 기술입니다.

현재 Magnitude 는 인터넷 익스플로러의 메모리 손상 취약점인 CVE-2016-0189 (2016년 5월 패치 됨) 하나 만을 악용하여 페이로드를 검색하고 실행시킵니다. 이 결함은 Disdain, Sundown-Pirate, Sundown, Bizarro Sundown 과 같은 다른 익스플로잇 킷과 다른 위협 요소에서 사용됩니다.


그림 2. Magnitude 익스플로잇 킷의 감염 경로 (위) 와
CVE-2016-0189 이 Magniber 를 실행하는 모습 (아래)

Magniber 랜섬웨어

Magniber 는 아래 스크린샷에서 보이는 바와 같이 먼저 감염된 시스템의 언어를 검사합니다. 그 후 Magniber 는 설치된 언어가 한국어의 identifier 인 locale identifier 문자열 0x0412 와 일치하는 경우에만 완전히 실행됩니다.


그림 3. 메모리에 로딩된 파일의 코드 조각 (위) 과 시스템 UI 언어와 일치하고 난 후의
Magniber의 감염 루틴 스크린 샷 (아래)

Magniber 는 몇 가지 국가별 혹은 언어별 랜섬웨어 중 하나 일 수 있습니다. 반면에 Cerber, SLocker, Locky 와 같은 많은 종류의 랜섬웨어 들은 전 세계적으로 배포되고 있습니다. 위의 랜섬웨어들은 일반적으로 랜섬노트와 파일 몸값 지불을 할 수 있는 페이지로 리디렉션 하는 등 다양한 언어 체크리스트와 기능을 코드에 통합하고 있습니다. 어떤 사람들은 공개적으로 이용 가능한 소스 코드를 빌려서 타깃에 따라 변경해 사용하기도 합니다. 예를 들어 작년에는 Hidden Tear 를 기반으로 한 KaoTear 라는 한국어 특정 랜섬웨어를 볼 수 있었습니다.

그리고 Magniber 내에서 지금까지 사용된 코드를 봤을 때, 이 랜섬웨어는 Magnitude 개발자의 지원하에 실험 단계에서 여전히 사용 가능합니다. 사실 Magnitude 와 Magniber 의 기능과 전략이 미세하게 조정됨에 따라 더 많은 발전 가능성을 예측할 수 있습니다.

Magnitude 의 Magniber 배포는 상대적으로 조용한 상태이지만, 시스템 상에 존재하는 보안의 틈을 찾고 파일을 암호화 시키는 능력은 상당한 수준의 위협으로 볼 수 있습니다. 사용자는 피해를 줄이기 위해서 다음과 같이 모범 사례를 적용해야 합니다. 시스템과 시스템의 애플리케이션을 업데이트하고 파일을 정기적으로 백업하여 시스템 공격 영향을 최소화하십시오. 또한 기업은 게이트웨이, 엔드포인트, 네트워크, 서버 및 비즈니스 프로세스를 관리하는 IT 인프라의 다른 부분들 또한 보호해야 합니다.

트렌드마이크로 솔루션

트렌드마이크로의 XGen™ Security 는 Cross-generational 의 위협 방어 기술을 제공함으로써 데이터센터, 클라우드 환경, 네트워크, 엔드포인트를 보호합니다. 또한 하이파이 머신러닝을 통해 게이트웨이엔드포인트 데이터, 애플리케이션뿐만 아니라 물리, 가상, 클라우드를 안전하게 보호합니다. 더불어 web/URL 필터링, 행위 분석, 사용자 지정 샌드박스 등의 기능으로 알려진 혹은 알려지지 않은 취약점 악용과 개인 식별 데이터를 도용, 강탈, 암호화하는 등 오늘날의 진화된 지능형 위협으로부터 사용자들 보호합니다. 강력하고 최적화된 XGen™ 은 트렌드마이크로의 보안 솔루션 제품군인 하이브리드 클라우드 보안, 사용자 보호 및 네트워크 방어 기능을 제공합니다.

침해 지표:

RANSOM_MAGNIBER.A (SHA256) 로 탐지된 해시 입니다:

  • 2e6f9a48d854add9f895a3737fa5fcc9d38d082466765e550cca2dc47a10618e
C&C domain and IP address related to Magniber ransomware:
  • psuutsnokbe6k8ody24[.]bankme[.]date
  • 185[.]99[.]2[.]183

Magnitude 익스플로잇 킷과 관련된 악성 광고 도메인과 IP 주소 입니다:

  • fastprofit[.]me
  • 9kedm134f0[.]artedit[.]today
  • 213[.]32[.]105[.]224
  • 51[.]254[.]93[.]62

Magnitude 익스플로잇 킷과 관련된 도메인과 IP 주소 입니다:

  • 8c00sfm2rf27war27eue[.]bypint[.]schule
  • 5[.]135[.]10[.]44

[원문: Magnitude Exploit Kit Now Targeting South Korea With Magniber Ransomware]