실종된 말레이시아 항공기 관련 뉴스를 이용한 위협 확인

3월 실종된 말레이시아 항공기 관련 뉴스를 이용한 위협을 확인

2014년 3월 8일 실종된 말레이시아 항공기 370편 수색에 많은 국가가 참여하고 있습니다. 트렌드마이크로는 큰 주목을 받고 있는 이번 사건에 편승해 다양한 위협이 확산되고 있는 것을 확인했습니다.

그 중 하나는 이 항공기에 관한 동영상을 가장한 파일로, 이메일로 배포되고 있다고 생각되며 'Malaysian Airlines MH370 5m Video.exe’라는 이름의 5분짜리 동영상으로 되어 있습니다. 그러나 이는 ‘BKDR_OTOPROXY.WR’로 탐지되는 백도어 악성코드입니다. 대부분의 백도어 악성코드와 마찬가지로 BKDR_OTOPROXY.WR도 공격자가 PC에 다양한 커맨드를 원격에서 실행할 수 있게 합니다. 공격자는 자신의 서버에서 파일을 다운로드 및 실행하거나 다양한 시스템 정보를 수집합니다.

이 백도어 악성코드는 보통의 악성코드와 다른점이 있습니다. BKDR_OTOPROXY.WR가 이용하는 C&C 서버 중 1개가 2013년 10월에 있었던 표적 공격과 관련되어 있다고 언급되었습니다. 표적 공격은 기존의 사이버공격과 동일한 기반을 공유하는 경우는 흔치 않습니다. 트렌드마이크로는 BKDR_OTOPROXY.WR가 표적공격에 이용되었다는 정보는 현재 확인하지 못했습니다.

트렌드마이크로는 또한 이 뉴스를 이용한 설문조사 사기도 확인했습니다. 실종된 항공기가 해상에서 발견되었다고 하는 가짜 뉴스 속보를 이용한 사례가 확인되었습니다. 사용자가 링크를 클릭하면 페이스북의 동영상과 매우 유사한 웹사이트로 유도됩니다. 웹사이트에는 실종된 항공기가 발견되었다는 동영상이 포함되어 있습니다. 실제로는 페이지의 어디를 클릭해도 또다른 페이지가 열리고 영화 아바타 속편에 관한 가짜 동영상이 표시됩니다.


그림1. 동영상이 포함된 악성 웹사이트

사용자가 이들 동영상을 클릭하면 동영상을 보기 위해 소셜미디어의 팔로워에 이를 공유하도록 유도됩니다. 공유를 하면 테스트를 완료하기 위해 나이 확인이 요구됩니다. 그러나 이들 테스트는 설문조사 사기에 지나지 않습니다. 사용자는 동영상을 보기 위해 여러 설문조사에 답하도록 유도되는데 그러한 동영상은 실제로는 존재하지 않습니다. 트렌드마이크로 클라우드 보안센터(SPN)의 피드백에 따르면 북미 지역에서 32%, 아시아태평양 지역에서 40%가 이 페이지에 접속했습니다.

또다른 설문조사 사기는 유투브 화면을 모방하여 실종된 항공기가 발견되었다는 동영상을 보여줍니다. 이전 사례와 같이 사용자는 동영상을 공유하고 재생 전에 테스트를 하도록 유도됩니다. 그러나 이 테스트도 마찬가지로 설문조사 사기로 유도할 뿐입니다.


그림2. 실종된 항공기를 발견했다고 하는 가짜 웹사이트

최신 뉴스나 시사 문제는 사이버범죄자가 이용하는 소셜 엔지니어링의 주요 미끼가 됩니다. 안타깝게도 이러한 일은 자주 일어나고 있습니다. 일본 대지진이나 보스톤 마라톤 폭탄테러, 태풍 하이옌 피해 등의 뉴스도 다양한 위협을 확산하기 위해 이용되었습니다.

최신 뉴스나 시사 문제를 알고 싶을 때에는 이메일이나 SNS가 아닌 신뢰할 수 있는 뉴스 사이트를 직접 방문해 주십시오.

트렌드마이크로 제품 사용자는 당사의 클라우드 보안센터(SPN)를 통해 보호됩니다. 이메일 레퓨테이션 기술을 통해 이번 위협과 관련된 이메일을 차단합니다. 웹 레퓨테이션 기술을 통해 이번 위협과 관련된 악성 웹사이트로의 접속을 차단합니다. 파일 레퓨테이션 기술을 통해 상술의 악성코드를 탐지하고 삭제합니다.

원문 : マレーシア航空370便消息不明のニュースに便乗する脅威を複数確認
by Rika Joi Gregorio (Threat Response Engineer)