“라자루스·워너크라이·케르베르, 상호 연관성 발견”
상태바
“라자루스·워너크라이·케르베르, 상호 연관성 발견”
  • 김선애 기자
  • 승인 2017.09.28 13:29
  • 댓글 0
이 기사를 공유합니다

SK인포섹, 세 공격서 공통된 C&C IP 발견…특정 IP·URL 주소, 랜섬웨어·악성코드 유포에 사용돼

북한이 배후에 있을 것으로 추정되는 라자루스 해킹그룹과 워너크라이 랜섬웨어 공격조직, 그리고 케르베르 랜섬웨어 공격조직이 서로 연관돼 있을 가능성이 제기됐다.

SK인포섹의 지능형 위협 대응 전문가 조직 '이큐스트(EQST)'가 발간한 보고서에 따르면 이 공격 그룹에서 공통분모를 가진 C&C IP가 발견되는 것으로 나타났다.

더불어 랜섬웨어 유포에 사용된 IP, URL 등이 악성코드 유포에 사용된 C&C IP와 많은 부분 중복돼 있는 것으로 나타난다. 케르베르 랜섬웨어와 록키 다이아블로6는 파일 해시, C&C IP가 중복돼 있으며, 테슬라크립트 랜섬웨어 그룹은 앵글러 익스플로잇 키트를 통해 유포한 악성파일의 C&C 도메인과 많은 부분 중복된다.

▲랜섬웨어 유입 유형

한편 현재 가장 많은 피해가 일어나는 것은 케르베르 랜섬웨어로, 78%의 랜섬웨어가 이 공격으로 인해 발생했다. 케르베르는 윈도우는 물론 리눅스 계열 OS에서도 활동해 피해 범위가 넓다.

랜섬웨어 C&C 다운로드 서버로 악용되는 국가는 미국이 34%로 가장 많고, 그 다음이 중국 12%, 한국이 3위인 8%를 차지한다. 이는 해킹공격 통계, 웜·바이러스 통계와도 유사하다.

랜섬웨어 공격 방법 중 중 이메일은 가장 많이 사용되는 것으로, 사회공학적 기법을 이용해 피해자가 랜섬웨어 악성코드가 숨어있는 악성파일을 열어 실행시키도록 유인한다. 웹서버를 해킹하는 것도 자주 사용되는 기법이다. 침해를 당한 웹사이트에 방문하는 PC를 감염시키는 방법이다.

워너크라이의 경우 이와 같은 방법을 사용하지 않고 네트워크에 연결된 기기 중 특정 취약점이 있는 기기로 전파되면서 자동으로 감염되는 웜 형태의 방법을 사용한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.