보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

클롭 랜섬웨어 확산 주범 Ammyy의 교묘한 변신

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-08-21

클롭(Clop) 랜섬웨어는 올해 초 주로 국내 기관과 기업을 타깃으로 유포되면서 본격적인 존재감을 드러냈다. 타깃형 랜섬웨어라는 점 외에도 클롭 랜섬웨어의 두드러진 특징은 주로 ‘Ammyy’라는 해킹 툴을 이용한다는 점이다. 지난 5월 말 이후 클롭 랜섬웨어의 기세가 수그러들었음에도 불구하고, 최근 Ammy 해킹 툴 유포가 급증하고 있다. 특히 국내 기업을 노린 정황이 뚜렷해 기업 보안 담당자들의 각별한 주의가 요구된다. 최신 Ammy 해킹 툴 유포 사례를 살펴본다.

 


 

 

여름 휴가철을 이용한 대량 유포

본격적인 여름 휴가철이 시작된 지난 7월 말, 전자항공권으로 위장한 Ammyy 해킹 툴이 유포됐다. [그림 1]과 같이 전자항공권으로 위장한 파일을 첨부한 악성 스팸 메일이 국내 기업을 타깃으로 대량 유포된 것. 

 


[그림 1] 전자항공권으로 위장한 악성 첨부 파일

 

[그림 1]에서 알 수 있는 것처럼 해당 파일은 .iso 파일로, pdf 파일로 위장하고 있지만 실제로는 .scr 포맷의 악성 실행파일이 포함되어 있다([그림 2] 참고). 사용자가 이 악성 실행파일을 실행하면 특정 URL 주소로 접속해 Ammyy 해킹 툴을 다운로드한다. 

 


[그림 2] 전자항공권으로 위장한 iso 파일 내부의 악성 실행파일(.scr)

 

전자항공권으로 유포된 사례 이외에도 바로가기 링크(.lin) 파일 형태나 엑셀 파일(.xls) 형태로 위장해 Ammyy 해킹 툴을 유포하는 사례가 잇따라 나타났다. 특히 [그림 3]의 엑셀 파일은 앞서 전자항공권으로 위장했던 iso 파일과 동일한 URL에 접속해 Ammyy 해킹 툴을 다운로드하는 것으로 확인됐다. 

 


[그림 3] 엑셀 파일로 위장한 악성 파일

 

업무 관련 내용으로 위장, 새벽 시간 틈타 유포

지난 8월 초에는 새벽 시간을 틈타, 마찬가지로 국내 기업을 대상으로 스팸 메일을 통해 Ammyy 해킹 툴이 유포됐다. 같은 시기에 해외에서도 Ammyy 해킹 툴을 유포하는 스팸 메일이 확인됐다. 

 


[그림 4] 국내(왼쪽)과 해외(오른쪽)에서 확인된 Ammyy 해킹 툴 관련 악성 파일

 

국내 기업을 노린 스팸 메일은 [그림 5]와 같이 '스캔파일'이라는 제목으로 위장, '스캔_(임의숫자).doc'라는 이름의 워드 파일을 첨부했다. 사용자가 첨부 파일을 클릭하면 위의 [그림 4]와 같이 매크로 기능을 활성화하도록 유도한다. 

 


[그림 5] 스캔파일이라는 제목과 첨부 파일로 위장한 악성 스팸 메일

 

이러한 워드 파일에 포함된 매크로 코드는 동작 방식에 따라 ▲인터넷 익스플로러(Internet Explorer, IE) 오브젝트를 이용해 특정 URL에 접속하여 파일을 다운로드하는 유형과 폼 객체 정보를 이용해 MSI 파일을 외부로부터 다운로드하여 실행하는 유형 등 두 가지로 구분할 수 있다. 

 

Ammyy 해킹 툴은 주로 감염 시스템에 클롭 랜섬웨어를 비롯해 원격제어 악성코드나 백도어 등 악성코드를 추가로 설치하는 역할을 한다. 올해 발생한 클롭 랜섬웨어 공격 사례 중에는 기업 내부 시스템을 통해 악성코드 확산, 시스템 정보 탈취 등을 시도한 경우도 있다. 따라서 기업 보안 담당자들은 다양한 방식으로 유포되고 있는 Ammyy 해킹 툴의 피해를 예방하기 위해 각별히 주의할 필요가 있다. 

 

한편, 안랩의 보안 제품은 Ammyy 해킹 툴을 유포하는 스팸 메일과 관련된 악성 문서 파일과 이를 통해 추가로 다운로드되는 실행파일 등을 다음과 같은 진단명으로 탐지하고 있다. 또한 V3는 이들 악성 파일이 C&C 서버와 접속하는 것을 차단한다. 단, 이를 위해서는 V3의 액티브 디펜스(Active Defense) 설정이 활성화(On)되어 있어야 한다. 

 

<안랩 제품 탐지명>

- BinImage/Dropper 

- Trojan/Win32.Agent 

- Win-Trojan/Clopran.Exp

- LNK/Runner

- VBA/AMMacro.S10 

- VBA/AMMacro.S11 

- Win-Trojan/Suspig9.Exp ​ 

  • AhnLab 로고
  • ASEC 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.