[김국배기자] 레드햇 오픈소스 미들웨어 제품인 '제이보스(JBoss)'를 사용하는 기업들을 노린 '삼삼(Samsam)' 랜섬웨어 공격이 발견됐다.
7일 글로벌 사이버보안업체 시만텍에 따르면 이번 공격은 대량 유포 방식의 전형적인 랜섬웨어 공격과 달리 패치가 안 된 취약점을 가진 특정 서버를 집중적으로 노렸다.
삼삼 랜섬웨어 공격자들은 레드햇 제이보스 기업용 제품을 운영하는 서버 가운데 패치가 되지 않은 서버를 가려내기 위해 젝스보스(Jexboss) 같은 도구를 활용했다.
공격자들은 이를 통해 하나의 서버에 성공적으로 침투하게 되면 다른 무료 도구와 스크립트를 사용해 네트워크로 연결된 컴퓨터 상에서 자격증명(credentials)과 정보를 수집한다. 이후 시스템 상의 파일들을 암호화하는 랜섬웨어를 배포한 뒤 금전을 요구한다.
시만텍은 "레드햇 제이보스 기업용 제품을 사용하는 기업들은 현재 패치가 되지 않은 버전을 사용하고 있는지 반드시 확인하고, 만약 미패치 버전이라면 즉시 최신 패치를 설치해야 한다"고 권고했다.
레드햇에 따르면 ▲레드햇 제이보스 엔터프라이즈 애플리케이션 플랫폼(EAP) 5.0.1 ▲레드햇 EAP 4.3 CP08 ▲레드햇 EAP 4.2 CP09 ▲레드햇 제이보스 SOA-플랫폼(SOA-P) 5.0.1 ▲레드햇 SOA-P 4.3 CP03 제품과 이후 버전은 영향을 받지 않는다.
시만텍코리아 제품기술본부 윤광택 상무는 "지금까지 랜섬웨어는 불특정 다수를 겨냥해 스팸 메일 등을 통해 무작위로 공격하는 형태였는데 이번 삼삼 랜섬웨어는 한 차원 진화한 랜섬웨어의 공격 유형을 보여주고 있다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기