HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

최신 플래시 취약점을 이용한 ‘헤르메스’ 랜섬웨어 감염 주의
등록일 :
2018.03.30

□ 개요

최근 헤르메스(HERMES)” 랜섬웨어가 최신 플래시 취약점을 이용하여 유포되어 국내 피해자가 크게 증가함에 따라 사용자들의 주의가 필요하다.

 

□ 내용

3 8일 오전부터 헤르메스랜섬웨어 2.1 버전이 최신 플래시 취약점인 “CVE-2018-4878”으로 국내에 유포되기 시작한 정황이 포착되었다. 기존 "선다운(Sundown)" 익스플로잇 킷에 해당 취약점이 적용되어 유포되어 국내 사용자의 피해사례가 증가하였다. 특히 CVE-2018-4878 취약점은 문서에 플래시가 포함된 형태로 "지능형 지속 위협(APT)" 공격에 사용되고있다. 특히 최근까지 탈북자 및 북한 연구자 등을 타깃으로 한 문서에 많이 사용되었다. 하지만 최근에는 웹 서핑 도중 악성코드에 감염되는 "드라이브 바이 다운로드 (Drive-by Download)" 형태로 변형되어 좀 더 대중적으로 랜섬웨어 유포를 할 수 있게 되었다.



[ 1] 헤르메스 랜섬웨어 침해 지표 (IOC)


헤르메스 랜섬웨어는 사용자 PC에 있는 수 천여 종류의 파일들을 암호화한다. 이후 폴더마다 "DECRYPT _INFORMATION.html” 라는 이름의 랜섬웨어 감염 노트를 생성하여 약 266만원 상당의 가상화폐로 몸값을 내도록 유도한다. 특히 헤르메스랜섬웨어 제작자는 국내 백신 환경에 대해서도 분석하여 국내 일부 백신에 대해서 우회하는 기능을 추가하기도 하였다

  


[그림 1] 헤르메스 랜섬웨어 랜섬노트

 

지난 달, 플래시 패치가 나왔지만 아직도 패치를 하지 않은 사용자가 많. 해당 취약점이 사용되기 시작한 이후 국내 랜섬웨어 감염자가 크게 증가하고 있으므로 아직 패치를 하지 않은 사용자는 반드시 패치를 해야 한다.

 

바이로봇 업데이트 내역

대표 진단명 Trojan.Win32..R.Agent

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top