|
17일 미국 정보보안 업체 파이어아이는 지난달 말 한국, 일본, 중동, 남유럽, 아태 지역 사용자를 공격하는 멀버타이징(Malvertising) 캠페인에 사용되는 새로운 공격방식 ‘폴아웃 익스플로잇 키트(Fallout exploit kit)’를 발견했다고 밝혔다.
폴아웃 익스플로잇 키트는 지난달 24일 ‘finalcountdown[.]gq’라는 도메인에서 처음 발견됐으며, 이후 해당 캠페인과 연관된 도메인, 지역 및 페이로드(payload)가 더 있다는 사실을 확인했다고 밝혔다.
일본 사용자를 겨냥한 ‘스모크로더(SmokeLoader)’와 중동 지역 사용자를 노린 ‘갠드크랩(GandCrab)’ 등 여러 랜섬웨어가 이 도구를 이용해 퍼지고 있다고 파이어아이는 설명했다.
사용자의 브라우저 프로필을 검사해 표적과 일치할 경우 악성 콘텐츠를 퍼뜨린다. 표적일 경우, 사용자는 302개의 리디렉션(redirection)을 통해 진짜 광고 페이지가 아닌 익스플로잇 키트 랜딩 페이지의 접속 주소(URL)로 연결된다.
해당 익스플로잇 키트의 랜딩페이지 URL은 지속적으로 변할 뿐만 아니라 패턴을 도출하기에 지나치게 포괄적이라, 특정 패턴에 기반한 탐지에 의존하는 침입탐지(IDS) 솔루션으로는 확인이 어렵다는 특징이 있다.
특히 사회공학적 기법을 이용해 정부, 통신, 헬스케어 분야 이용자를 노리고 있어 해당 분야 종사자들의 주의가 요구된다고 파이어아이는 덧붙였다.