[아이티비즈 김문구 기자] 파이어아이(지사장 전수홍)는 배드래빗 랜섬웨어 공격을 발견하고 감염 경로를 차단했다고 2일 밝혔다.
파이어아이는 배드래빗 리다이렉트 사이트와 그 동안 백스윙(BACKSWING)으로 추적해온 프로파일러 호스팅 사이트가 직접적으로 오버랩 되는 것을 확인했다. 백스윙을 호스팅하는 사이트는 총 51개로 조사됐다. 2017년, 파이어아이는 두 가지 버전의 백스윙을 목격했으며, 지난 5월에는 우크라이나 웹사이트 대상 공격이 크게 증가한 것을 확인했다.
이러한 공격 패턴은 단순히 금전적인 목적이 아닌 특정 지역 공격에 대한 전략적 스폰서의 가능성을 제기한다. 파이어아이는 아직도 백스윙의 위협을 받고 있는 다수의 도메인을 확인했으며, 이러한 도메인이 추가적인 공격에 사용될 것으로 예상하고 있다.
지난 10월 24일 오전 8시(UTC 기준), 파이어아이는 웹사이트에 접속만 해도 감염되는 드라이브-바이 다운로드(Drive-by Download) 방식으로 다수의 사용자를 감염시키는 시도를 발견 및 차단했다. 해당 시도는 플래시 업데이트(install_flash_player.exe)로 위장했으며, 사용자들이 특정 사이트를 접속하는 경우 감염된 사이트로 리다이렉트 시켰다.
파이어아이는 10월 24일 오후 3시(UTC 기준)까지 자사 네트워크 장비를 통해 독일, 일본 및 미국에 위치한 최소 10명 이상의 피해자에 대한 감염 시도를 차단했다.
파이어아이 아이사이트 인텔리전스(FireEye iSIGHT Intelligence)는 코딩 형식은 다르지만 동일한 기능을 가지고 있는 두 가지 버전의 백스윙을 추적했다.
① 버전1
파이어아이는 지난 2016년 말 체코의 관광 산업 관련 조직의 웹사이트 및 몬테네그로 정부기관의 웹사이트에서 백스윙 첫 번째 버전을 발견했다.
백스윙 버전1은 감염 웹사이트에 암호화 되지 않은 상태로 처음 유포됐으나, 공격자들은 점차 오픈소스 딘-에드워드 패커(Dean-Edwards Packer)를 사용해 코드를 혼란스럽게 하고 감염 웹사이트의 자바스크립트 리소스에 유포했다.
파이어아이는 2017년 5월부터 우크라이나 웹사이트가 백스윙 버전1의 공격을 받은 것을 확인했다. 2017년 6월에는 백스윙 리시버에서 되돌아오는 콘텐트를 확인 할 수 있었다.
② 버전2
지난 2017년 10월 5일, 파이어아이는 백스윙 버전1을 호스팅한 다수의 웹사이트에서 백스윙 버전2를 최초 목격했다.
백스윙 버전2는 주로 감염 웹사이트의 자바스크립트 리소스로 유포됐다.
파이어아이는 백스윙 버전2를 호스팅하는 웹사이트의 제한적인 인스턴스가 배드래빗 감염 체인과 연관된 것을 확인했다.
