2016년 8월 2일 화요일

Nymaim 악성코드 전 세계적으로 유행 중 (2016.07)

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2594

Nymaim 악성코드 전 세계적으로 유행 중

2013년에 발견된 Nymaim이 올해 위협환경에서 더욱 강력하게 재출현



▶ 악성코드 Nymaim 재출현• 2013년에 악성코드 계열로 알려진 Nymaim은 작년과 비교하여 공격이 63% 증가하였고,위협환경에서 더 강하게 재출현하였다고 ESET 전문가들은 밝힘
• 2016년 상반기 탐지 수는 2015년보다 증가추세에 있고 세계적으로 위협 재유행 추세
• ESET에 따르면 폴란드는 올해 가장 많이 공격을 받았으며(54%) 다음으로는 독일(16%) 그리고 미국(12%)이 차지

▶ ESET의 Nymaim 분석결과• 이전버전과는 다르게, 다운로드 실행이 필요하며 새로운 변종 Nymaim은 스피어피싱을 넘어 이메일 분야까지 확장. 특히 변종 Nymaim은 악성 매크로를 섞어 SNS상 사용자들을 속이기 위해 word의 doc파일에 첨부
• 이러한 doc 파일들은 사용자들에게 “내용을 보기 위해서는 호환성 모드를 활성화 필요” 라는 창을 띄우며 사용자가 직접 매크로 활성을 할 수 있도록 유도
• VBA/TrojanDownloader.Agent.BCX 로 탐지된 매크로 바이러스는 Nymaim 페이로드를 다운로드하며 이는 temp 폴더에 새로운 실행 파일로 저장되어 이를 다시 실행. 전문가들은 해당 악성코드는 드로퍼에 의해 다운받아지며 이는 마지막 페이로드에 의해 파일을 암호화하는 랜섬웨어와 유사한 것이라고 설명

▶ Nymaim 피해 및 주의 사항• 2015년에 Nymaim 악성코드 변종이 발견 되었으며 2016년 5월에 분석 샘플 완성
• Nymaim 악성코드는 브라질의 금융기관을 목표를 잡은 공격이 다수 발견 되었으며 올해 4월에는IBM에서 Nymaim dropper와 Gozi 금융 악성코드가 결합된 하이브리드 Trojan을 발견.
• 이 악성코드는 GozNym 이라고 불리며 4월 말 유럽의 유저들을 타겟으로 잡아왔으나, 지난달 미국의 주요 은행들로 타겟 변경하여 피해가 예상됨
• 예방전략은 네트워크가 지원된다면, 이 악성코드에 접촉하는 IP와 URL들을 방화벽의 프록시 단에 블랙리스팅 후 제거. 또한 사용자 PC에 피싱과 웹에 대한 백신을 설치하고 최신 버전으로 유지시키는것 또한 필수


댓글 없음:

댓글 쓰기