상세 컨텐츠

본문 제목

Magniber 랜섬웨어 그룹, 공격에 인터넷 익스플로러 취약점 악용해

국내외 보안동향

by 알약4 2021. 11. 12. 09:00

본문

Magniber ransomware gang now exploits Internet Explorer flaws in attacks

 

Magniber 랜섬웨어 그룹이 인터넷 익스플로러 취약점 2가지와 악성 광고를 통해 사용자를 감염시키고 장치를 암호화하고 있는 것으로 나타났습니다.

 

공격에 악용된 인터넷 익스플로러 취약점 2가지는 CVE-2021-26411, CVE-2021-40444로 등록되었으며 모두 CVSS v3 심각도 점수 8.8점을 받았습니다.

 

첫 번째 취약점인 CVE-2021-26411 2021 3월 수정되었으며 특수 제작된 웹 사이트를 열람할 때 발생하는 메모리 손상 취약점입니다.

 

두 번째 취약점인 CVE-2021-40444는 악성 문서를 열 경우 IE의 렌더링 엔진에서 원격 코드 실행이 트리거되는 취약점입니다.

 

공격자는 2021 9월 마이크로소프트가 해당 취약점을 수정하기 전 CVE-2021-40444를 제로데이 취약점으로 악용했습니다.

 

집중적으로 노리는 타깃을 변경한 Magniber

 

Magniber 그룹은 취약점을 악용하여 시스템을 침해하고 랜섬웨어를 배포하는 것으로 유명합니다.

 

지난 8, Magniber가 윈도우 서버를 해킹하기 위해 'PrintNightmare' 취약점을 악용하는 것이 발견되었습니다. 이 취약점은 프린터에 영향을 미치며, 마이크로소프트가 이를 해결하는데는 꽤 오랜 시간이 소요되었습니다.

 

Magniber에서 실행한 가장 최근 공격은 익스플로잇 키트를 푸시하는 악성 광고를 사용하여 인터넷 익스플로러의 취약점을 악용하는 데 중점을 둡니다.

 

이러한 변화는 마이크로소프트가 지난 4개월 동안 PrintNightmare 취약점을 대부분 수정했으며, 미디어에서 크게 다루어 관리자가 보안 업데이트를 배포하도록 압력을 가했기 때문에 이루어졌을 가능성이 큽니다.

 

Magniber가 인터넷 익스플로러 취약점으로 초점을 변경한 또 다른 이유는 파일이나 웹 페이지를 여는 수신자의 호기심을 자극하기만 하면 비교적 쉽게 트리거할 수 있기 때문입니다.

 

인터넷 익스플로러와 같이 인기가 없는 오래된 브라우저를 노리는 것이 이상하게 보일 수 있습니다. 그러나 StatCounter에 따르면, 전 세계 페이지 뷰의 1.15%가 여전히 인터넷 익스플로러에서 발생합니다.

 

이는 낮은 비율이지만, StatCounter는 매월 총 페이지 뷰 수 100억건을 추적하기 때문에 인터넷 익스플로러 사용자의 페이지 뷰는 약 1 1500만에 달합니다.

 

게다가, 알려진 취약점으로부터 사용자를 신속하게 보호하는 자동 업데이트 메커니즘을 사용하는 구글 크롬, 마이크로소프트 에지와 같은 크로미움 기반 브라우저 및 파이어폭스 브라우저를 노리는 것은 훨씬 더 어렵습니다.

 

아시아 기업에 대한 위협

 

Magniber 2017 Cerber 랜섬웨어의 후속작으로 시작되었으며 초기에는 한국 사용자만 감염되었습니다.

 

이후 이 그룹은 대상 범위를 확장해 중국(대만 및 홍콩 포함), 싱가포르, 말레이시아 내 시스템 또한 감염시키기 시작했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/magniber-ransomware-gang-now-exploits-internet-explorer-flaws-in-attacks/>

<Magniber의 랜섬노트>

 

 

Magniber는 이후 타깃 범위를 고정해 최근에는 거의 아시아 기업 및 조직만을 공격하고 있습니다.

 

Magniber 랜섬웨어는 출시 이후 매우 활발히 개발되었으며 페이로드는 세 번 재작성되었습니다.

 

현재는 해킹되지 않은 상태이기 때문에, 해당 변종으로 암호화된 파일을 복구할 수 있는 복호화 툴은 없는 상태입니다.

 

또한 Magniber는 파일 도용 및 이중 갈취를 하지 않기 때문에 공격의 피해는 파일 암호화로 제한됩니다.

 

따라서 안전하고 격리된 시스템에서 정기적인 백업을 수행할 경우 이 공격을 효과적으로 대비할 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/magniber-ransomware-gang-now-exploits-internet-explorer-flaws-in-attacks/

https://s.tencent.com/research/report/127

관련글 더보기

댓글 영역