지난달 24일, 사전 계획된 전략적인 ‘배드래빗(BADRABBIT)’ 랜섬웨어 공격이 포착됐다.
파이어아이(지사장 전수홍)는 배드래빗 랜섬웨어 공격을 발견하고 감염 경로를 차단했다고 밝혔다.
파이어아이는 배드래빗 리다이렉트 사이트와 그 동안 백스윙(BACKSWING)으로 추적해온 프로파일러 호스팅 사이트가 직접적으로 오버랩 되는 것을 확인했다. 백스윙을 호스팅하는 사이트는 총 51개로 조사됐다.
파이어아이는 2가지 버전의 백스윙을 목격했으며, 지난 5월에는 우크라이나 웹사이트 대상 공격이 크게 증가한 것을 확인했다.
이러한 공격 패턴은 단순히 금전적인 목적이 아닌 특정 지역 공격에 대한 전략적 스폰서의 가능성을 제기한다. 파이어아이는 아직도 백스윙의 위협을 받고 있는 다수의 도메인을 확인했으며, 이러한 도메인이 추가적인 공격에 사용될 것으로 예상하고 있다.
파이어아이는 지난달 24일 웹사이트에 접속만 해도 감염되는 드라이브-바이 다운로드(Drive-by Download) 방식으로 다수의 사용자를 감염시키는 시도를 발견 및 차단했다.
해당 시도는 플래시 업데이트(install_flash_player.exe)로 위장했으며, 사용자들이 특정 사이트를 접속하는 경우 감염된 사이트로 리다이렉트 시켰다.
자사 네트워크장비를 통해 독일, 일본 및 미국에 위치한 최소 10명 이상의 피해자에 대한 감염 시도를 차단했다. 감염 시도를 차단하자 1dnscontrol[.]com 및 악성코드를 포함한 웹사이트 등의 공격자 인프라는 오프라인 상태가 됐다.
전략적 웹 공격은 막대한 양의 부수적 공격을 야기할 수 있다. 사이버 공격자들은 종종 전략적 웹 공격을 특정 애플리케이션 버전을 사용하는 시스템 또는 피해자를 공격하는 프로파일링 멀웨어와 결합시킨다.
파이어아이는 지난 2016년 9월부터, 악성 자바스크립트 프로파일링 프레임워크인 백스윙이 최소 54개의 사이트로 유포된 것을 포착했다. 해당 사이트들은 배드래빗 유포 URL로 리다이렉트 되는데 사용됐다.