전체상품목록 바로가기

본문 바로가기

 
신규가입시 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [Ahnlab] 국내 타깃형 악성코드들의 연결고리? Amadey
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2019-07-04
  • 추천 추천하기
  • 조회수 46

개인과 기업을 막론하고 지난 상반기 동안 국내에서 지속적으로 유포되고 많은 피해를 입힌 악성코드는 갠드크랩 랜섬웨어와 클롭 랜섬웨어다. 그런데 이들 랜섬웨어와 올해 3월 발생한 가상화폐(암호화폐, Cryptocurrency) 거래소 공격의 숨겨진 공통점이 발견됐다. 바로 유포와 실행을 위해 ‘Amadey’라는 이름의 봇을 이용했다는 점이다. 안랩 시큐리티대응센터(AhnLab Security Emergency-response Center, 이하 ASEC)가 공개한 국내 타깃형 악성코드와 Amadey의 관계를 살펴본다.

 

 

 

 

 

ASEC의 악성코드 분석가들이 지속적인 추적, 분석하는 과정에서 갠드크랩(GandCrab) 랜섬웨어와 클롭(Clop) 랜섬웨어, 그리고 스팸 메일을 통해 유포된 원격제어용 백도어 악성코드인 Ammyy가 국내 사용자를 노리고 있다는 다수의 정황이 확인됐다. 그런데 이들 악성코드들 사이에 공통점이 있을 뿐만 아니라 가상화폐 거래소를 노린 악성코드와도 관련 있다는 정황이 포착됐다. 바로 Amadey다.  

 

러시아에서 제작된 것으로 알려진 Amadey는 봇(bot)의 일종으로, 시스템 내부 정보 유출이나 파일 다운로드 및 실행 등의 역할을 한다. Amadey의 가장 큰 특징은 정보 유출과 함께 공격자의 의도에 따라 감염 시스템에 파일(악성코드)을 추가로 다운로드하는데, 이때 다운로드 할 파일을 실시간으로 교체할 수 있는 맞춤형 봇이라는 점이다. 또한 봇 관리와 탈취한 정보, 추가 파일 등을 공격자가 운영하는 C&C 서버 웹 화면을 통해 관리할 수 있다는 장점(?)도 있다.

 

[그림 1] Amadey 봇 관리자(공격자) 화면

 

앞서 언급한 것처럼 올해 우리나라에서 주로 유포된 랜섬웨어들과 가상화폐 거래소 공격 등에 Amadey가 이용된 정황이 확인되었다. 그러나 이들 공격의 전체가 아닌 일부에서, 또 그 일부 공격에서도 찰나에 포착된 것이 특징이다. 게릴라 작전처럼 순간적으로 나타났던 Amadey의 흔적을 살펴본다.  

 

1. 갠드크랩 랜섬웨어 공격에 나타난 Amadey

지난 4월 15일 유포된 Amadey는 감염 시스템에 3개의 파일을 추가로 다운로드하여 실행했는데, 그 중 하나가 갠드크랩 랜섬웨어였다. 당시 확인된 갠드크랩 랜섬웨어는 실행 파일 코드의 외형도 Amadey와 유사했는데, 이는 파일 제작에 사용된 빌더가 동일했다는 의미다.

 

2. Ammyy 백도어와 클롭 랜섬웨어 연계 공격에서 포착된 Amadey

최근 가장 이슈가 되고 있는 원격제어 백도어 악성코드인 Ammyy 또한 Amadey를 이용해 유포된 정황이 확인되었다.

 

스팸 메일에 첨부된 악성 엑셀 파일의 매크로 기능을 이용해 Amadey 봇이 시스템에 설치된 후 Ammyy 다운로더를 설치한다. 이렇게 설치된 Ammyy 다운로더가 다시 Ammyy 백도어 파일을 다운로드한다.

 

공격 대상 시스템에 침투한 Ammyy는 일정 기간 동안 잠복하면서 또 다른 악성 파일을 이용해 시스템 내부 정보를 탈취한다. 정보 탈취가 완료되면 클롭 랜섬웨어를 설치한다.

 

3. 가상화폐 거래소 겨냥한 악성코드에 남겨진 Amadey

 지난 3월 29일 국내 가상화폐 거래소의 내부 PC에서 악성 파일이 발견됐다. 실행 파일 형태의 이 악성 파일은 정보 유출과 더불어 가상화폐(코인) 탈취를 시도했는데, 이와 함께 Amadey를 이용해 추가로 파일을 다운로드했다. 이렇게 추가로 다운로드된 파일은 또 다른 정보 유출을 시도했다.

 

 

국내 사용자 노린 악성코드 유포, 하반기에도 지속될 듯

과거에 비해 올해 상반기에 유독 국내 사용자를 노린 타깃형 악성코드가 기승을 부렸다. 이러한 추세는 올 하반기에도 지속될 것으로 전망되는 만큼, 개인과 기업 사용자 모두의 각별한 관심과 주의가 필요하다.

 

비록 갠드크랩 랜섬웨어 제작자가 최근 랜섬웨어 제작 중단을 선언하기는 했지만, 위에서 언급된 Ammyy 백도어와 클롭 랜섬웨어는 지금도 활발하게 활동하고 있다. 특히 Ammyy 백도어는 스팸 메일을 통해 국내 주요 대기업을 비롯해 기업, 개인 사용자를 가리지 않고 무차별적으로 유포되고 있어 더욱 각별한 주의가 필요하다.

 

Amadey를 이용한 국내 타깃형 악성코드에 대한 상세한 내용은 ASEC 블로그에서 확인할 수 있다.  

► ASEC 블로그 바로가기

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스