요즘 블랙매터라는 랜섬웨어 그룹 때문에 난리다. 2달 만에 200곳 가까운 조직들이 당하고 10곳의 기업들이 정보 노출 피해까지 입었다. 갑자기 어디서 나타난 걸까? 파면 팔수록 그 뿌리가 나오고 있다.
[보안뉴스 문가용 기자] 요즘 떠오르는 랜섬웨어 단체 중 하나로 블랙매터(BlackMatter)가 있다. 올해 7월 처음 등장했으며 불과 지난 주에는 미국의 농업 서비스 회사인 뉴 코오퍼레이티브(NEW Cooperative)를 마비시키기도 했다. 꽤나 많은 보안 업체들이 이 신규 그룹에 대해 연구와 분석을 시작했다.
[이미지 = utoimage]
현재까지 밝혀진 것에 따르면 블랙매터는 다크사이드(DarkSide)라는 랜섬웨어 그룹과 관련성이 있는 것으로 보인다. 다크사이드는 올해 콜로니얼 파이프라인(Colonial Pipeline)이라는 인프라 운영 기업을 공격해 미국 사회에 적잖은 혼란을 가져다 준 후 사라진 단체다. 다크사이드는 콜로니얼 파이프라인 사태를 일으킨 것에 대해 적잖이 당황하면서 “우리는 그저 돈만 바랄 뿐 정치사회적 목적을 가지고 있지는 않다”고 해명하기도 했다.
보안 업체 맥아피(McAfee)의 알렉산더 문도(Alexandre Mundo)는 “블랙매터와 다크사이드의 코딩 스타일이 깜짝 놀랄 정도로 비슷하다”고 분석하고 있다. 맥아피가 분석한 건 블랙매터 1.2였는데, 현재는 1.9와 2.0 버전이 발견되고 있다. 1.9 버전의 컴파일 날짜는 8월 12일이고, 2.0 버전의 컴파일 날짜는 8월 16일이다. “블랙매터의 개발자는 코드 개발에 온갖 노력을 기울이고 있습니다. 주로 탐지와 분석을 어렵게 만드는 데 집중합니다.”
블랙매터는 피해자의 장비를 감염시키고 파일 암호화를 실행한 후 배경화면을 바꾸는데, 이것 역시 다크사이드의 그것과 상당히 흡사하다고 한다. 보안 업체 소포스(Sophos)의 마크 로만(Mark Loman)은 자사 블로그를 통해 “배경화면 자체도 대단히 비슷한데, 그 배경화면에 필요한 데이터들이 디스크 내 같은 폴더에 저장되기도 한다”고 썼다. “심지어 파일 용량도 정확히 일치합니다. 이미지 포맷과 크기도 똑같고요.”
블랙매터는 다크사이드와 마찬가지로 런타임 API를 활용해 정적 분석을 방해하기도 한다. “물론 최근에 등장한 멀웨어들 사이에 런타임 API 활용 흔적이 흔히 발견되는 게 사실입니다. 하지만 ‘어떻게 활용하느냐’는 멀웨어 개발자마다 조금씩 다르거든요. 블랙매터와 다크사이드의 경우, 런타임 API와 문자열 암호화 기능이 활용되는 방법 자체가 매우 유사하다는 특징을 가지고 있습니다.” 로만의 설명이다.
분석을 방해하고 디버거를 회피한 후 블랙매터는 권한 상승 공격을 실시한다. 프로세스를 실행시킨 사용자(즉, 피해자)가 관리자 권한을 가지고 있는지부터 확인하는데, 관리자 권한이 확인될 경우 계속해서 공격용 코드를 실행한다. 만약 관리자 권한을 가지고 있지 않은 경우 권한을 상승시키기 위한 코드를 실행한다. 이는 레빌, 록빗 2.0(LockBit 2.0), 다크사이드와 같은 랜섬웨어 그룹들에서도 발견된 공격 방식이다.
또 다른 보안 업체 엠시소프트(Emsisoft)의 경우 “블랙매터가 다크사이드와 동일한 암호화 순서를 가지고 있다”고 밝히기도 했다. “다크사이드의 경우 살사20(Salsa20)이라는 매트릭스를 맞춤형으로 개조해 사용한다는 고유한 특징을 가지고 있었습니다. 이와 비슷한 방식의 암호화 기술을 블랙매터가 사용하고 있는 것이 발견되기도 했습니다.”
현재까지 블랙매터가 공격한 조직은 총 176개로 집계되고 있다. 2개월 남짓한 기간 동안 꽤나 높은 공격 성공률을 기록 중에 있다고 볼 수 있다. 이 176개 조직들 중 ‘정보 공개’의 피해까지 입은 조직은 10개다. 주요 피해국은 영국, 미국, 캐나다, 호주, 인도, 브라질, 칠레, 태국, 일본인 것으로 분석되며, 해당 지역의 큰 기업들이 주요 표적인 것으로 보인다. 스스로 병원이나 주요 사회 인프라를 공격하지 않겠다고 블랙매터는 주장하고 있는데, 아직까지는 이 약속이 지켜지고 있는 상황이다. (다크사이드도 비슷한 포지셔닝을 차지하고 있던 그룹이다.)
블랙매터는 이번 달에만 일본의 대기업 올림푸스(Olympus)를 감염시키고, 미국의 농업 서비스 업체인 뉴 코오퍼레이티브를 마비시킨 바 있다.
3줄 요약
1. 올림푸스와 뉴 코오퍼레이티브 마비시킨 블랙매터, 신인인데 활동력 왕성.
2. 분석하면 할수록 이전에 활동했던 다크사이드 랜섬웨어 그룹과 유사함.
3. 코드 스타일, 공격 방향성, 전략과 기술 등 다크사이드 판박이로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 요즘 떠오르는 랜섬웨어 단체 중 하나로 블랙매터(BlackMatter)가 있다. 올해 7월 처음 등장했으며 불과 지난 주에는 미국의 농업 서비스 회사인 뉴 코오퍼레이티브(NEW Cooperative)를 마비시키기도 했다. 꽤나 많은 보안 업체들이 이 신규 그룹에 대해 연구와 분석을 시작했다.
[이미지 = utoimage]
현재까지 밝혀진 것에 따르면 블랙매터는 다크사이드(DarkSide)라는 랜섬웨어 그룹과 관련성이 있는 것으로 보인다. 다크사이드는 올해 콜로니얼 파이프라인(Colonial Pipeline)이라는 인프라 운영 기업을 공격해 미국 사회에 적잖은 혼란을 가져다 준 후 사라진 단체다. 다크사이드는 콜로니얼 파이프라인 사태를 일으킨 것에 대해 적잖이 당황하면서 “우리는 그저 돈만 바랄 뿐 정치사회적 목적을 가지고 있지는 않다”고 해명하기도 했다.
보안 업체 맥아피(McAfee)의 알렉산더 문도(Alexandre Mundo)는 “블랙매터와 다크사이드의 코딩 스타일이 깜짝 놀랄 정도로 비슷하다”고 분석하고 있다. 맥아피가 분석한 건 블랙매터 1.2였는데, 현재는 1.9와 2.0 버전이 발견되고 있다. 1.9 버전의 컴파일 날짜는 8월 12일이고, 2.0 버전의 컴파일 날짜는 8월 16일이다. “블랙매터의 개발자는 코드 개발에 온갖 노력을 기울이고 있습니다. 주로 탐지와 분석을 어렵게 만드는 데 집중합니다.”
블랙매터는 피해자의 장비를 감염시키고 파일 암호화를 실행한 후 배경화면을 바꾸는데, 이것 역시 다크사이드의 그것과 상당히 흡사하다고 한다. 보안 업체 소포스(Sophos)의 마크 로만(Mark Loman)은 자사 블로그를 통해 “배경화면 자체도 대단히 비슷한데, 그 배경화면에 필요한 데이터들이 디스크 내 같은 폴더에 저장되기도 한다”고 썼다. “심지어 파일 용량도 정확히 일치합니다. 이미지 포맷과 크기도 똑같고요.”
블랙매터는 다크사이드와 마찬가지로 런타임 API를 활용해 정적 분석을 방해하기도 한다. “물론 최근에 등장한 멀웨어들 사이에 런타임 API 활용 흔적이 흔히 발견되는 게 사실입니다. 하지만 ‘어떻게 활용하느냐’는 멀웨어 개발자마다 조금씩 다르거든요. 블랙매터와 다크사이드의 경우, 런타임 API와 문자열 암호화 기능이 활용되는 방법 자체가 매우 유사하다는 특징을 가지고 있습니다.” 로만의 설명이다.
분석을 방해하고 디버거를 회피한 후 블랙매터는 권한 상승 공격을 실시한다. 프로세스를 실행시킨 사용자(즉, 피해자)가 관리자 권한을 가지고 있는지부터 확인하는데, 관리자 권한이 확인될 경우 계속해서 공격용 코드를 실행한다. 만약 관리자 권한을 가지고 있지 않은 경우 권한을 상승시키기 위한 코드를 실행한다. 이는 레빌, 록빗 2.0(LockBit 2.0), 다크사이드와 같은 랜섬웨어 그룹들에서도 발견된 공격 방식이다.
또 다른 보안 업체 엠시소프트(Emsisoft)의 경우 “블랙매터가 다크사이드와 동일한 암호화 순서를 가지고 있다”고 밝히기도 했다. “다크사이드의 경우 살사20(Salsa20)이라는 매트릭스를 맞춤형으로 개조해 사용한다는 고유한 특징을 가지고 있었습니다. 이와 비슷한 방식의 암호화 기술을 블랙매터가 사용하고 있는 것이 발견되기도 했습니다.”
현재까지 블랙매터가 공격한 조직은 총 176개로 집계되고 있다. 2개월 남짓한 기간 동안 꽤나 높은 공격 성공률을 기록 중에 있다고 볼 수 있다. 이 176개 조직들 중 ‘정보 공개’의 피해까지 입은 조직은 10개다. 주요 피해국은 영국, 미국, 캐나다, 호주, 인도, 브라질, 칠레, 태국, 일본인 것으로 분석되며, 해당 지역의 큰 기업들이 주요 표적인 것으로 보인다. 스스로 병원이나 주요 사회 인프라를 공격하지 않겠다고 블랙매터는 주장하고 있는데, 아직까지는 이 약속이 지켜지고 있는 상황이다. (다크사이드도 비슷한 포지셔닝을 차지하고 있던 그룹이다.)
블랙매터는 이번 달에만 일본의 대기업 올림푸스(Olympus)를 감염시키고, 미국의 농업 서비스 업체인 뉴 코오퍼레이티브를 마비시킨 바 있다.
3줄 요약
1. 올림푸스와 뉴 코오퍼레이티브 마비시킨 블랙매터, 신인인데 활동력 왕성.
2. 분석하면 할수록 이전에 활동했던 다크사이드 랜섬웨어 그룹과 유사함.
3. 코드 스타일, 공격 방향성, 전략과 기술 등 다크사이드 판박이로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
