상세 컨텐츠

본문 제목

악성코드 배포한 ‘Angler EK’ 활동 정지 – 다른 EK들은 요금인상

국내외 보안동향

by 알약(Alyac) 2016. 7. 15. 09:54

본문

악성코드 배포한 ‘Angler EK’ 활동 정지 – 다른 EK들은 요금인상

マルウェアまき散らした「Angler EK」がほぼ停止 - 移行先EKは料金値上げ


웹을 통해 악성코드를 감염시키는 Exploit Kit으로 사이버 범죄자에게 인기를 모았던 ‘Angler EK’가 6월 초순부터 활동이 정지되었습니다. 따라서 공격자들은 다른 Exploit Kit를 악용하고 있다고 합니다.


‘Angler EK’는 업데이트를 활발히 하는 것으로 알려져 있는 Exploit Kit입니다. Angler Exploit Kit은 지금까지 다른 Exploit Kit에 앞서 취약점을 악용하는 악성코드를 발빠르게 심어왔습니다.


이탈리아의 Hacking Team에서 취약성 정보가 유출되었을 때에도 Angler Exploit Kit은 단계적으로 취약점을 노리는 악성코드를 심었습니다. 그리고 2016년에 들어서부터 ‘Flash Player’나 ‘Silverlight’ 등의 취약성에 대한 공격코드를 추가하기 시작했습니다.


특히 5월에 들어서부터 수정 패치를 제공한지 불과 10일만에 ‘Flash Player’의 취약성 ‘CVE-2016-4117’에 대한 공격을 시작했습니다. 이에 더하여 마이크로소프트의 취약성 완화 툴 ‘EMET’를 회피하는 기능 등을 추가한 정황도 파악됐습니다.


Symantec의 조사 결과, 5월에는 Exploit Kit를 통한 공격 중 ‘Angler EK’를 통한 공격이 전체의 절반 넘게 차지했으나, 최근들어 큰 전환기를 맞고 있습니다.


Exploit Kit은 6월 7일, 모습이 크게 변화했습니다. Trend Micro는 이후 ‘Angler EK’의 활동이 정체된 것을 확인했습니다. 이에 공격자는 다른 Exploit Kit를 악용했지만 일부 한정적이었으며, ‘Angler EK’ 활동의 정지에 의해 Exploit Kit 전체의 활동량이 감소했습니다.


Symantec도 6월 들어 ‘Angler EK’의 활동이 큰 폭으로 감소한 한편, ‘Neutrino EK’의 활동이 증가했다고 밝혔습니다. 6월 말부터는 5월 중 가장 활발히 활동했던 때의 16분의 1까지 활동이 축소되었으며, 활동이 완전히 끝난 것은 아니지만, 대폭 감소했습니다.


이는 러시아에서 부정 송금을 하는 트로이 목마 'Lurk'를 악용했던 공격자 그룹이 적발되면서, ‘Angler EK’의 활동 정지에도 영향을 미친 것으로 보입니다.


Kaspersky Lab에 따르면 러시아 범죄 그룹은 2011년부터 활동했으며, 5년동안 4500만달러 이상을 악의적으로 취득했습니다. 그들은 공식사이트를 조작하고, Exploit Kit를 이용하여 트로이 목마를 유포했습니다. 6월경 악성코드를 이용하여 금전을 탈취한 용의자로 50명이 체포되었고, 비슷한 시기에 ‘Angler EK’의 활동이 진정되었습니다.


6월 7일경 활동 정지를 분석한 Proofpoint는 악성코드의 배포경로가 ‘Angler EK’에서 ‘Neutrino’ ‘RIG’ 등 다른 Exploit Kit로 옮겨진 사실을 파악했습니다. ‘Neutrino’는 공격자들로부터 주 880달러, 월 3500달러의 요금을 받고 있었으나, 이번에 7000달러로 2배 이상 인상했습니다. 따라서 ‘Angler EK’는 사실상 종언을 맞았다고 보고 있습니다.


‘Angler EK’가 활동을 정지한 것은 이번이 처음이 아닙니다. 그러나 Cisco Systems는 과거와 상황이 다르다고 지적하고 있습니다. 이미 7월에 접어들었으나 여전히 활동을 재개할 기색이 없고, 공격자들이 다른 Exploit Kit으로 이동하는 점 등에서 공격 툴이 변화의 시기를 맞고 있는 것으로 보입니다.




출처 :

http://www.security-next.com/071940



관련글 더보기

댓글 영역