상세 컨텐츠

본문 제목

SoakSoak 봇넷, Neutrino 익스플로잇 키트와 CryptXXX 랜섬웨어 배포해

국내외 보안동향

by 알약(Alyac) 2016. 7. 25. 14:57

본문

SoakSoak 봇넷, Neutrino 익스플로잇 키트와 CryptXXX 랜섬웨어 배포해

SOAKSOAK BOTNET PUSHING NEUTRINO EXPLOIT KIT AND CRYPTXXX RANSOMWARE


해킹된 기업 웹사이트들을 통해 CryptXXX 랜섬웨어가 배포되고 있습니다. 웹사이트들은 Neutrino 익스플로잇 키트로 연결되도록 조작되어 있습니다. Invincea가 발행한 보고서에 따르면, 공격자들은 Revslider 슬라이드쇼 플러그인을 사용하는 워드프레스 웹사이트들을 노리고 있습니다.


Invincea의 보안 연구 부문 디렉터인 Pat Belcher는 해당 공격은 2014년부터 시작됐으며, 웹사이트의 취약점을 자동으로 스캔하는 것으로 알려진 SoakSoak 봇넷이 공격의 배후에 있다고 밝혔습니다. Belcher는 “인기있는 웹사이트의 슬라이드쇼와 비디오 컴포넌트를 타겟으로 하는 공격이 급격히 증가한 것을 발견했다”고 말했습니다.


Belcher는 과테말라의 공식 관광 웹사이트, 멕시코 도시 상수도 회사의 웹사이트 및 비즈니스 웹사이트들이 방문자들을 Neutrino 익스플로잇 키트를 운영하는 웹사이트로 리다이렉트한다고 밝혔습니다. 이후 해당 공격에 취약한 사용자들은 CryptXXX 랜섬웨어에 감염될 수 있습니다.


그는 “우리는 SoakSoak과 같은 봇넷들이 기존의 트로이목마, 패스워드 탈취 악성코드에서 랜섬웨어로 페이로드를 변경하고 있는 것을 발견했다.”고 덧붙였습니다.


SoakSoak 봇넷의 배후에 있는 공격자들은 자신들의 전략을 계속해서 수정해왔고, 새로운 그룹의 웹사이트들을 감염시켰습니다. 특히 공격자들에게 워드프레스는 매우 인기있는 사이트로, 윈도우에서 IE로 접속하는 사용자들을 공격하기에 좋은 수단이 되어왔습니다.


한편, 구글은 2014년에 SoakSoak에 취약할 것으로 보이는 100,000개의 사이트를 블랙리스팅했습니다. 그 당시에 보안전문가들은 Revslider 슬라이드 쇼 플러그인의 4.1.4 이전버전(4.1.4 버전 포함)을 사용하는 워드프레스 웹사이트가 원인이라고 말했습니다.


Invincea의 연구에서, 이번 이슈는 어떠한 버전이 타겟되고 있는지 아직 밝혀지지 않았습니다.


▶ 관련 포스팅 : http://blog.alyac.co.kr/290




출처 :

https://threatpost.com/soaksoak-botnet-pushing-neutrino-exploit-kit-and-cryptxxx-ransomware/119379/

https://www.invincea.com/2016/07/major-websites-getting-soaksoakd-delivering-cryptxxx-ransomware



관련글 더보기

댓글 영역