POS 장비와 네트워크를 표적으로하는 새로운 취약점 공격도구 ‘앤젤러 익스플로잇 킷(Angler Exploit Kit)’이 빠르게 확산되고 있다. 특히 이 도구는 메모리에서 실행돼 샌드박스 기반 APT 방어 장비에서 탐지되지 않는다.
웹센스가 11일 발표한 보고서에 따르면 기존의 금융 취약점 공격도구 ‘블랙햇 익스플로잇 킷(Blackhat Exploit Kit)’을 앤젤러 익스플로잇 킷이 승계해 빠른 속도로 확산하고 있다.
이 취약점 도구는 악성광고를 활용해 타깃을 유인하는데, 2개의 어도비 플래시 취약점을 악용해 금융 트로이목마를 설치한다. 두번의 리다이렉트를 발생시키는 난독화 URL을 거쳐 보안 제품과 취약점을 정찰한 후 드로퍼 파일을 내려받는다. 금융 트로이 목마, 랜섬웨어, 루트키트, 크립토락커와 백도어 트로이 목마를 포함하는 페이로드를 제공한다.
드로퍼는 암호화 채널로 전송되며, 메모리에서 실행돼 샌드박스 기반의 APT 방어 장비를 우회한다.
이상혁 웹센스코리아 지사장은 “앵글러 익스플로잇 킷은 금융 뿐 아니라 다양한 산업군에 위협을 가하고 있으며, 샌드박스를 쉽게 우회하기 때문에 방어가 까다롭다”며 “웹 보안 게이트웨이를 도입해 악성코드의 유입을 사전에 차단하고 웹 채널에 대한 기본적인 방어 체계를 구축해야 한다”고 말했다.
이 지사장은 “실제 웹 보안 게이트웨이 도입의 고객 사례를 분석해보면 99% 이상의 공격이 사전에 차단되고 있으며 비용 절감과 여유로운 인력의 운용으로 보안 전략의 수립에 더 많은 시간을 할애하고 있다”고 덧붙였다.
