[아이뉴스24 최은정 기자] 지난 2019년 안랩이 신종 랜섬웨어로 명명한 '블루크랩'이 최근 기업과 개인 사용자를 대상으로 각각 차별화된 공격 방식을 감행하고 있는 것으로 나타났다.
2일 안랩에 따르면 블루크랩 공격자는 기업 환경이라고 판단 시 랜섬웨어가 아닌 '코발트스트라이크'라는 해킹 도구를 유포했다.
블루크랩은 지난 2018년 최악의 랜섬웨어로 지목됐던 '갠드크랩'과 유사한 랜섬웨어다. 기존 갠드크랩과 동일한 감염 경로를 보이고 있으며, 다양한 방식으로 유포된다. 감염 후 바탕화면을 '파란색'으로 바꾼다는 점에서 안랩은 '블루크랩'이라는 이름을 붙인 바 있다.
이번에 발견된 공격은 기업에서 주로 활용하는 액티브 디렉토리(AD) 환경에서 코발트스트라이크 설치를 시도한 것이 특징이다. 기업의 파일들을 암호화하는 랜섬웨어 보다 해킹을 통해 기업 내부를 더 잘 들여다 볼 수 있다는 점이 작용한 것으로 추정된다.
안랩 관계자는 "코발트스트라이크는 원래 합법적인 목적으로 모의해킹 테스트를 위해 제한적으로 사용돼왔다"며 "최근 소스코드 유출 이후에 악성코드에서도 활발하게 악용되고 있다"고 설명했다.
이어 "최근 블루크랩 유포 과정에서 기업 AD 환경을 확인해 기업 사용자의 경우, 랜섬웨어가 아닌 코발트스트라이크 해킹 툴이 설치되는 것이 확인됐다"고 강조했다.
또한 개인 사용자를 겨냥한 공격 사례에서는 보안 솔루션 등을 우회하기 위해 악성 자바스크립트를 포함한 악성코드를 다양한 방식으로 변형하는 것으로 분석됐다.
먼저 공격자는 소프트웨어, 폰트 등을 무료로 공유할 수 있는 피싱 사이트로 사용자를 유도했다. 개인이 특정 용어를 검색엔진에 입력하면 검색 결과 상단에 해당 사이트를 상단에 노출시켜 접근이 쉽도록 했다.
공격자는 게시글 작성자 '네봄이'로 사칭해 한글 워드 프로그램을 무료로 다운로드 하고 싶다는 글을 올렸다. 이어 악성 URL을 통해 무료로 SW를 다운로드할 수 있는 링크를 답글로 게시했다. 만약 사용자가 이를 통해 파일을 다운로드 받으면 블루크랩에 감염된다.
보안업계 관계자는 "블루크랩의 자바스크립트가 난독화, 지속 변형되고 있어 보안 프로그램에서 탐지하는 데에 어려움이 있다"며 "이용자들은 검색엔진에 상단에 위치한 사이트라고 하더라도 접속해 파일을 다운로드할 때 항상 주의를 기울여야 한다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기