IP 및 도메인 정보 유출

[보안뉴스 김형근 기자] 최고 수준 해킹 그룹이라도 기본적 보안 수칙을 지키지 않으면 실패한다는 사실을 최근 가장 활발한 활동을 벌이는 록빗(LockBit) 5.0 그룹이 스스로 증명했다.


[자료: gettyimagesbank]

최근 이 그룹의 핵심 인프라 정보가 외부로 노출되는 운영 보안 실패가 발생했다. IP 주소와 이 랜섬웨어 그룹의 최신 유출 사이트를 호스팅하는 도메인(karma0.xyz) 등의 정보가 노출됐다.

보안 연구원 라케시 크리슈난(Rakesh Krishnan)에 따르면, 이 서버는 불법 활동에 자주 악용되는 AS53667(PONYNET) 네트워크 하에 호스팅됐으며, 서버에 접속하면 ‘LOCKBITS.5.0’이라는 문구가 확인됐다. 이는 서버가 록빗 그룹의 운영에 직접적으로 사용됨을 보여준다.

후이즈(WHOIS) 기록은 karma0.xyz가 2025년 4월 등록되었음을 보여주며, 클라우드플레어 네임서버 등을 사용했다.

현재 도메인 상태는 고객 이전 금지로 설정돼 있어, 록빗 그룹이 통제권을 유지하려는 노력이 엿보인다.

스캔 결과, 노출된 IP 주소에서 다수의 개방된 포트가 발견됐다. 특히 RDP 포트(3389/TCP) 개방은 윈도우 호스트에 대한 무단 접근을 허용할 수 있는 고위험 벡터로 지목된다.

9월 등장한 록빗 5.0은 윈도우, 리눅스, ESXi를 모두 공격할 수 있도록 제작됐으며, 랜덤화된 파일 확장자, 지리적 위치 기반 회피(러시아 시스템 회피), ‘XChaCha20’을 통한 암호화 속도 가속 등의 향상된 기능을 갖추고 있다.

기업 및 기관은 이들 IP와 도메인을 즉시 차단하고 추가 유출을 모니터링해야 한다고 전문가들은 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>