본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

Trojan.Ransom.Magniber 악성코드 분석 보고서

보안공지 2022-02-17



지난 2017년 Cerber 랜섬웨어의 후속작으로 등장한 매그니베르(Magniber) 랜섬웨어는 다양한 변종으로 유포해 오고 있다. 초기에는 한국 사용자만 감염되었지만 이후, 대상 범위를 확장해 중국, 대만, 홍콩, 싱가포르, 말레이시아 내 시스템 또한 감염시키기 시작했습니다.

과거 매그니베르 랜섬웨어는 파일리스(fileless) 형태, PrintNightmare 취약점, 인터넷 익스플로러 취약점을 악용하여 시스템을 침해하고 랜섬웨어를 배포해 왔습니다.

최근 매그니베르 랜섬웨어는 기존 인터넷 익스플로러 감염 방식과 다른 감염 방식으로Edge, Chrome 브라우저를 이용하여 윈도우 앱(.Appx) 파일 설치를 유도를 통해 유포되고 있습니다.

 

[그림] 동작 방식


매그니베르(Magniber) 랜섬웨어는 처음 나온 이후로 지금까지 꾸준히 유포되고 있고 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 취약점을 이용하여 파일리스 형태로 접속만으로도 감염되는 특징을 가지고 있었습니다. 

최근에는 가짜 웹 브라우저 업데이트 메시지를 통한 윈도우 앱(.Appx) 파일로 위장하여 유포되고 있습니다. 과거 버전에서는 C2 주소에서 페이로드를 받아오는 구조로 C2 주소 차단 시 감염되지 않았지만, 최근 재 배포된 파일 확인 시 C2 주소에 연결을 하지 않아도 감염되기 때문에 폐쇄망을 사용하는 기업들도 랜섬웨어 공격에 더 큰 주의를 기울여야 합니다.

따라서, 랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 한다. 또한, 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야 합니다.

현재 알약에서는 ‘Trojan.Ransom.Magniber’으로 진단하고 있습니다.