드리덱스와 제우스로 유명한 공격 단체...최근 웨이스티드락커라는 새 랜섬웨어 개발
미국의 여러 유명 기업들을 대량으로 공격...사이트 침해한 후 방문자 감염시키는 전략
[보안뉴스 문가용 기자] 사이버 공격자들이 미국 매체 웹사이트 여러 곳을 공격했다. 전부 한 모기업이 운영하는 곳으로, 공격자들은 침해한 사이트들을 이용해 랜섬웨어를 퍼트리고 있다고 한다. 뉴스를 보러 웹사이트에 방문하게 되면 랜섬웨어에 감염이 되는데, 실제 적잖은 기업들이 이미 감염된 상태라고 한다. 이에 대해 시만텍(Symantec)이 발표했다.
[이미지 = utoimage]
시만텍은 지난 주 자바스크립트를 기반으로 한 멀웨어인 속골리시(SocGholish)를 발견했다. 소프트웨어 업데이트로 위장되어 있었다고 한다. 발견한 곳은 31개의 시만텍 고객사였다. 속골리시의 배후에는 러시아의 공격 단체인 에빌 코프(Evil Corp)가 있는 것으로 밝혀졌다. 속골리시를 사용해 웨이스티드락커(WastedLocker)라는 랜섬웨어를 공격 대상에 심고 있었다고 한다.
이런 식으로 에빌 코프의 공격 수단으로서 이용당하고 있던 기업들 중 상장된 곳만 11군데였고, 포춘 500대 기업에 포함된 곳도 다수 있었다. 제조업에 속한 곳이 다수 당했지만 다른 산업이라고 무사하지는 않았다. 금융, 의료, 에너지, 운송 분야에서도 피해자가 나왔다. 다행히 시만텍이 속골리시를 제 때 속골리시를 처리하는 바람에 랜섬웨어가 본격적으로 발동되지는 않았다고 한다.
만약 랜섬웨어 공격으로까지 사태가 퍼졌다면 각 기업들은 수천만 달러에 달하는 피해를 입었을 것으로 추정된다. 게다가 여러 산업에서 중요한 역할을 담당하는 기업들이 대부분이라 파급효과도 컸을 것으로 예상된다. “웨이스티드락커는 네트워크 내 컴퓨터와 서버들을 마비시킴으로써 인프라 전체를 사용 불능 상태로 만들었을 것입니다. 그러면서 수백만 달러의 금액을 요구했을 것으로 보입니다.”
에빌 코프는 악명 높은 해킹 단체로 드리덱스(Dridex)와 제우스(Zeus)를 개발해 배포하고 있는 것으로 가장 잘 알려져 있다. 지난 수년 동안 수억 달러에 달하는 피해를 발생시켰고, 미국 사법부는 작년 두 명의 용의자들을 기소했다. 외국인이라 체포로까지 이어지지는 않았지만 둘 중 한 명에는 500만 달러의 현상금을 걸기도 했다.
시만텍은 이번 주 발표한 보고서를 통해 “속골리시가 호스팅 되어 있는 피해 웹사이트가 최소 150개는 된다”며 “방문자의 컴퓨터에 속골리시를 심고, 이를 통해 웨이스티드락커라는 랜섬웨어를 설치하는 것이 이 대형 캠페인의 목표였다”고 알렸다.
그 중 한 기업이 운영하는 여러 뉴스 사이트가 한꺼번에 속골리시에 감염되었다는 것도 알려졌다. 시만텍은 해당 기업에 이 사실을 알렸고, 그 기업은 모든 사이트들에서 속골리시를 찾아내 삭제하는 데 성공했다. “저희 고객사만 31개 기업이 당했습니다. 이 기업들이 각종 자회사나 서브 브랜드의 이름으로 운영하는 웹사이트들도 연쇄적으로 침해됐고요. 즉 에빌 코프의 이번 캠페인이 어마어마한 규모로 진행되었다는 것을 알 수 있습니다.”
보안 업체 NCC그룹(NCC Group) 역시 2020년 5월초부터 웨이스티드락커를 추적해왔다. NCC그룹도 시만텍처럼 이 랜섬웨어의 배후에 에빌 코프가 있다고 발표했다. 에빌 코프는 자신들이 직접 만든 공격 도구들과, 피해자 시스템에 있는 정상 프로세스 및 서비스들을 악용함으로써 피해자의 네트워크 내에서 횡적으로 움직이고, 이를 통해 피해를 극대화시키는 데 성공했다.
이들이 활용한 ‘정상적 프로세스와 서비스’에는 파워셸 스크립트, PsExec 윈도우 도구, 윈도우 관리 도구(WMI)의 명령행 유틸리티(wmic.exe) 등이 있다. 에빌 코프는 이런 도구들을 사용해 실시간 모니터링 및 스캐닝 기능을 해제시킴으로써 침투를 용이하게 만들었다. 특히 윈도우 디펜더를 무력화시키는 게 가장 큰 목적이었던 것으로 보인다.
이렇게 피해자의 시스템에 이미 장착되어 있는 정상 도구들을 공격에 활용하는 것을 ‘리빙 오프 더 랜드(living-off-the-land)’라고 부르며, 점점 더 많은 공격자들 사이에서 선호되고 있다. 정상 프로세스와 서비스를 활용하는 것이기에 탐지가 어렵고, 악용되는 걸 알고 있어도 사용자 입장에서 선뜻 삭제하기가 쉽지 않아 지속적으로 공격을 이어갈 수 있기 때문이다.
3줄 요약
1. 에빌 코프, 광범위한 스케일의 랜섬웨어 캠페인 벌이다가 발각됨.
2. 여러 웹사이트를 침해한 후 속골리시라는 다운로더를 호스팅.
3. 사이트 방문자는 속골리시에 감염되고, 속골리시는 랜섬웨어를 추가로 설치.
[국제부 문가용 기자(globoan@boannews.com)]
미국의 여러 유명 기업들을 대량으로 공격...사이트 침해한 후 방문자 감염시키는 전략
[보안뉴스 문가용 기자] 사이버 공격자들이 미국 매체 웹사이트 여러 곳을 공격했다. 전부 한 모기업이 운영하는 곳으로, 공격자들은 침해한 사이트들을 이용해 랜섬웨어를 퍼트리고 있다고 한다. 뉴스를 보러 웹사이트에 방문하게 되면 랜섬웨어에 감염이 되는데, 실제 적잖은 기업들이 이미 감염된 상태라고 한다. 이에 대해 시만텍(Symantec)이 발표했다.
[이미지 = utoimage]
시만텍은 지난 주 자바스크립트를 기반으로 한 멀웨어인 속골리시(SocGholish)를 발견했다. 소프트웨어 업데이트로 위장되어 있었다고 한다. 발견한 곳은 31개의 시만텍 고객사였다. 속골리시의 배후에는 러시아의 공격 단체인 에빌 코프(Evil Corp)가 있는 것으로 밝혀졌다. 속골리시를 사용해 웨이스티드락커(WastedLocker)라는 랜섬웨어를 공격 대상에 심고 있었다고 한다.
이런 식으로 에빌 코프의 공격 수단으로서 이용당하고 있던 기업들 중 상장된 곳만 11군데였고, 포춘 500대 기업에 포함된 곳도 다수 있었다. 제조업에 속한 곳이 다수 당했지만 다른 산업이라고 무사하지는 않았다. 금융, 의료, 에너지, 운송 분야에서도 피해자가 나왔다. 다행히 시만텍이 속골리시를 제 때 속골리시를 처리하는 바람에 랜섬웨어가 본격적으로 발동되지는 않았다고 한다.
만약 랜섬웨어 공격으로까지 사태가 퍼졌다면 각 기업들은 수천만 달러에 달하는 피해를 입었을 것으로 추정된다. 게다가 여러 산업에서 중요한 역할을 담당하는 기업들이 대부분이라 파급효과도 컸을 것으로 예상된다. “웨이스티드락커는 네트워크 내 컴퓨터와 서버들을 마비시킴으로써 인프라 전체를 사용 불능 상태로 만들었을 것입니다. 그러면서 수백만 달러의 금액을 요구했을 것으로 보입니다.”
에빌 코프는 악명 높은 해킹 단체로 드리덱스(Dridex)와 제우스(Zeus)를 개발해 배포하고 있는 것으로 가장 잘 알려져 있다. 지난 수년 동안 수억 달러에 달하는 피해를 발생시켰고, 미국 사법부는 작년 두 명의 용의자들을 기소했다. 외국인이라 체포로까지 이어지지는 않았지만 둘 중 한 명에는 500만 달러의 현상금을 걸기도 했다.
시만텍은 이번 주 발표한 보고서를 통해 “속골리시가 호스팅 되어 있는 피해 웹사이트가 최소 150개는 된다”며 “방문자의 컴퓨터에 속골리시를 심고, 이를 통해 웨이스티드락커라는 랜섬웨어를 설치하는 것이 이 대형 캠페인의 목표였다”고 알렸다.
그 중 한 기업이 운영하는 여러 뉴스 사이트가 한꺼번에 속골리시에 감염되었다는 것도 알려졌다. 시만텍은 해당 기업에 이 사실을 알렸고, 그 기업은 모든 사이트들에서 속골리시를 찾아내 삭제하는 데 성공했다. “저희 고객사만 31개 기업이 당했습니다. 이 기업들이 각종 자회사나 서브 브랜드의 이름으로 운영하는 웹사이트들도 연쇄적으로 침해됐고요. 즉 에빌 코프의 이번 캠페인이 어마어마한 규모로 진행되었다는 것을 알 수 있습니다.”
보안 업체 NCC그룹(NCC Group) 역시 2020년 5월초부터 웨이스티드락커를 추적해왔다. NCC그룹도 시만텍처럼 이 랜섬웨어의 배후에 에빌 코프가 있다고 발표했다. 에빌 코프는 자신들이 직접 만든 공격 도구들과, 피해자 시스템에 있는 정상 프로세스 및 서비스들을 악용함으로써 피해자의 네트워크 내에서 횡적으로 움직이고, 이를 통해 피해를 극대화시키는 데 성공했다.
이들이 활용한 ‘정상적 프로세스와 서비스’에는 파워셸 스크립트, PsExec 윈도우 도구, 윈도우 관리 도구(WMI)의 명령행 유틸리티(wmic.exe) 등이 있다. 에빌 코프는 이런 도구들을 사용해 실시간 모니터링 및 스캐닝 기능을 해제시킴으로써 침투를 용이하게 만들었다. 특히 윈도우 디펜더를 무력화시키는 게 가장 큰 목적이었던 것으로 보인다.
이렇게 피해자의 시스템에 이미 장착되어 있는 정상 도구들을 공격에 활용하는 것을 ‘리빙 오프 더 랜드(living-off-the-land)’라고 부르며, 점점 더 많은 공격자들 사이에서 선호되고 있다. 정상 프로세스와 서비스를 활용하는 것이기에 탐지가 어렵고, 악용되는 걸 알고 있어도 사용자 입장에서 선뜻 삭제하기가 쉽지 않아 지속적으로 공격을 이어갈 수 있기 때문이다.
3줄 요약
1. 에빌 코프, 광범위한 스케일의 랜섬웨어 캠페인 벌이다가 발각됨.
2. 여러 웹사이트를 침해한 후 속골리시라는 다운로더를 호스팅.
3. 사이트 방문자는 속골리시에 감염되고, 속골리시는 랜섬웨어를 추가로 설치.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
