보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2022년 2분기 알약 바카라사이트 행위기반 차단 건수: 148,689건! 1분기 대비 2만 9천여건 감소
2022년2분기,알약(ALYac)백신프로그램을통해총148,689건의바카라사이트행위기반공격이차단된것으로확인됐습니다.
이번통계는개인사용자를대상으로무료제공하는공개용알약의‘바카라사이트행위기반차단기능’을통해차단된공격만을집계한결과이며,만약패턴(시그니처)기반탐지건까지포함한다면전체공격건수는더욱증가하게됩니다.
2분기알약을통해차단된바카라사이트의공격은총148,689건으로,일간기준으로환산하면일평균약1,652건의바카라사이트공격이차단된것으로볼수있습니다.이는지난1분기대비약2만9천여건감소한수치입니다.
알약행위기반바카라사이트차단건수는6월부터극명한차이를보이며,현저히감소한양상을보이고있습니다.하지만2분기탐지패턴기반의주요바카라사이트탐지수치는별다른변화가보이진않고있어,변종공격의일시적소강상태여부등은3분기집계까지좀더시간을두고따져봐야할것으로예상됩니다.
ESRC는2022년2분기바카라사이트주요동향을다음과같이선정했습니다.
1) 비너스락커(VenusLocker)그룹의이력서및저작권위반사칭메일을통해유포된한국맞춤형마콥(Makop),락빗(LockBit)바카라사이트의기승
2) 타이포스쿼팅(Typosquatting)기법을통한매그니베르(Magniber)바카라사이트유포
3) 러시아의우크라이나침공이슈와관련된바카라사이트위장와이퍼(Wiper)공격
4) 로블록스 코인을 랜섬머니로 요구하는 바카라사이트
5)ESXi서버를타겟으로하는리눅스바카라사이트증가
6)중단후활동을재개한바카라사이트등장
이른바 비너스락커 그룹으로 알려진 바카라사이트 유포 조직은 오랜 기간 동안 한국에서 활동 중입니다. 최근에는 NSIS 기반으로 변형한 마콥 또는 락빗 바카라사이트 변종을 유포하고 있어, ESRC에서는 해당 그룹을 지속해서 추적하고 있다. 이뿐 아니라 과거 비너스락커 그룹이 사용한 벡터를 모방한 또 다른 제3의 위협 행위자 소행 가능성도 배제하지 않고 이에 대한 추가 조사도 진행 중입니다.
이들은주로기업들을대상으로이력서를위장한내용이나혹은이미지파일의저작권위반내용처럼사용자들의불안감을조성할수있는내용의피싱메일을통해바카라사이트를유포하고있어사용자들의각별한주의가필요합니다.
다음으로 인터넷 이용자가 웹 사이트 주소를 실수로 잘못 입력해 철자가 틀리는 경우를 이용해, 미리 유사한 이름의 악성 사이트를 등록해 진행하는 일명 타이포스쿼팅 공격 기법을 활용한 매그니베르 바카라사이트도 기승을 부렸습니다. 사용자가실수로악성사이트에접속하면마치윈도우업데이트용MSI파일처럼위장한바카라사이트파일을자동으로내려주어사용자들의실행을유도하며,여기서다운로드된파일을실행할경우매그니베르바카라사이트감염피해로이어지게됩니다.
러시아의우크라이나침공이현재까지지속되고있으며,이러한전쟁상황은사이버공간에서도지속되고있습니다.익명의사이버그룹들은자신들이지지하는국가를공개하고,상대국가에대해사이버공격을진행하기도합니다.
5월에발견된Chaos바카라사이트변종은사용자PC를감염시킨후확장자를'fuckazov'로바꾸는데,여기서azov는우크라이나의아조프대대를뜻합니다.또한랜섬노트역시우크라이나전쟁을비난하는내용과함께,러시아승리를희망하는내용이포함된웹사이트의링크가포함되어있습니다.
뿐만아니라,데이터를암호화하고랜섬머니를요구하는척하지만,랜섬머니를지불해도데이터를복구할수없는가짜바카라사이트의변형인와이퍼악성코드도지속적으로등장하고있습니다.와이퍼악성코드는주로우크라이나를공격대상으로하고있으며,데이터파괴를목적으로하고있습니다.
로블록스 코인을 랜섬머니로 요구하는 바카라사이트가 등장하였습니다. 6월에 류크(Ryuk)바카라사이트를 사칭하지만 실제로는 카오스(Chaos)바카라사이트의 변종인 워너프렌드미(WannaFriendMe)가 발견됐는데, 해당 바카라사이트는 널리 알려진 암호화폐 대신 로블록스(Roblox)의 Game Pass 스토어에서 복호화 툴(Ryuk Decrypter)을 판매합니다.
피해자들이 복호화 툴을 구매하려면 반드시 로블록스 게임 플랫폼에서만 사용 가능한 로벅스(Robux) 코인을 구매해야 합니다.
다음으로VMwareESXi는기업에서많이사용하는가상화플랫폼으로,2분기에도역시ESXi플랫폼을공격대상으로한바카라사이트들이많이발견됐습니다.
22년4월에발견된BlackBasta바카라사이트는처음에윈도우시스템을공격대상으로삼았지만,이후발견된리눅스변종은ESXi서버만을노리도록특별히설계됐습니다.또한ESXi서버만을노린Cheers바카라사이트의변종인Cheerscrypt도발견됐습니다.ESXi서버를공격대상으로한바카라사이트는점점더증가할것으로예상됩니다.
2분기에는운영을중단했던바카라사이트들이다시활동을시작하기도하였습니다.
지난11월부터2월까지운영을중단했던Clop바카라사이트가활동을재개한소식이해외에서알려졌으며,4월한달동안21명의피해자가발생했다는소식이전해졌습니다.하지만,이번사례가기존활동의연장선여부는명확히확인되지않았습니다.
뿐만아니라10월,법집행기관에의해Tor서버가압수되고그룹원이체포당하면서활동을중단했던Revil바카라사이트역시다시활동을시작한것으로추정됩니다.감염자에게보여주는웹사이트의경우,기존인프라가새로운사이트로리디렉션시키고있으며,새로운사이트에는이전REvil공격을통해훔친데이터와새로운데이터가섞인채게시되어있었습니다.
더불어새로발견된바카라사이트가REvil소스코드를통해컴파일되었으며새로운변경사항이포함된것으로볼때,REvil바카라사이트가다시활동을시작한것으로볼수있습니다.
이밖에ESRC에서선정한2022년2분기새로발견되었거나주목할만한바카라사이트는다음과같습니다.
바카라사이트는 전통적인 이메일 수단 뿐만 아니라, 타이포스쿼팅, APT 공격 결합 등 다양한 방식을 통해 전개 중으로, 6월 한달 간 통계적으로 주춤한 양상을 보였지만 여전히 실존하는 대표적인 사이버 위협 중에 하나로 절대 긴장을 늦춰선 안됩니다.
기업 보안담당자 여러분들께서는 사내 시스템에 존재하는 취약점에 대한 빠른 패치를 진행하시고, 만일 바로 패치를 적용할 수 없는 상황이라면 임시조치를 통하여 바카라사이트의 공격을 완화하시기를 권고 드립니다. 또한 주기적인 임직원 보안 인식 교육을 통하여 사회공학적 기법을 통한 공격에도 대비하셔야 합니다.
개인 사용자 여러분들께서는 알약과 같은 백신 설치, 자주 사용하는 SW를 항상 최신 버전으로 유지 및 주기적인 백업 등 보안조치를 통하여 바카라사이트 공격을 차단하고, 바카라사이트에 감염되어도 그 피해를 최소화 시킬 수 있도록 하여야 합니다.
이스트시큐리티는바카라사이트감염으로인한국내사용자피해를미연에방지하기위해,한국인터넷진흥원(KISA)과의긴밀한협력을통해바카라사이트정보수집과유기적인대응협력을진행하고있습니다.
참고 :