새로운 랜섬웨어 단체 블랙매터, 보면 볼수록 다크사이드와 닮아

2021-09-23 14:39
  • 카카오톡
  • 네이버 블로그
  • url
요즘 블랙매터라는 랜섬웨어 그룹 때문에 난리다. 2달 만에 200곳 가까운 조직들이 당하고 10곳의 기업들이 정보 노출 피해까지 입었다. 갑자기 어디서 나타난 걸까? 파면 팔수록 그 뿌리가 나오고 있다.

[보안뉴스 문가용 기자] 요즘 떠오르는 랜섬웨어 단체 중 하나로 블랙매터(BlackMatter)가 있다. 올해 7월 처음 등장했으며 불과 지난 주에는 미국의 농업 서비스 회사인 뉴 코오퍼레이티브(NEW Cooperative)를 마비시키기도 했다. 꽤나 많은 보안 업체들이 이 신규 그룹에 대해 연구와 분석을 시작했다.


[이미지 = utoimage]

현재까지 밝혀진 것에 따르면 블랙매터는 다크사이드(DarkSide)라는 랜섬웨어 그룹과 관련성이 있는 것으로 보인다. 다크사이드는 올해 콜로니얼 파이프라인(Colonial Pipeline)이라는 인프라 운영 기업을 공격해 미국 사회에 적잖은 혼란을 가져다 준 후 사라진 단체다. 다크사이드는 콜로니얼 파이프라인 사태를 일으킨 것에 대해 적잖이 당황하면서 “우리는 그저 돈만 바랄 뿐 정치사회적 목적을 가지고 있지는 않다”고 해명하기도 했다.

보안 업체 맥아피(McAfee)의 알렉산더 문도(Alexandre Mundo)는 “블랙매터와 다크사이드의 코딩 스타일이 깜짝 놀랄 정도로 비슷하다”고 분석하고 있다. 맥아피가 분석한 건 블랙매터 1.2였는데, 현재는 1.9와 2.0 버전이 발견되고 있다. 1.9 버전의 컴파일 날짜는 8월 12일이고, 2.0 버전의 컴파일 날짜는 8월 16일이다. “블랙매터의 개발자는 코드 개발에 온갖 노력을 기울이고 있습니다. 주로 탐지와 분석을 어렵게 만드는 데 집중합니다.”

블랙매터는 피해자의 장비를 감염시키고 파일 암호화를 실행한 후 배경화면을 바꾸는데, 이것 역시 다크사이드의 그것과 상당히 흡사하다고 한다. 보안 업체 소포스(Sophos)의 마크 로만(Mark Loman)은 자사 블로그를 통해 “배경화면 자체도 대단히 비슷한데, 그 배경화면에 필요한 데이터들이 디스크 내 같은 폴더에 저장되기도 한다”고 썼다. “심지어 파일 용량도 정확히 일치합니다. 이미지 포맷과 크기도 똑같고요.”

블랙매터는 다크사이드와 마찬가지로 런타임 API를 활용해 정적 분석을 방해하기도 한다. “물론 최근에 등장한 멀웨어들 사이에 런타임 API 활용 흔적이 흔히 발견되는 게 사실입니다. 하지만 ‘어떻게 활용하느냐’는 멀웨어 개발자마다 조금씩 다르거든요. 블랙매터와 다크사이드의 경우, 런타임 API와 문자열 암호화 기능이 활용되는 방법 자체가 매우 유사하다는 특징을 가지고 있습니다.” 로만의 설명이다.

분석을 방해하고 디버거를 회피한 후 블랙매터는 권한 상승 공격을 실시한다. 프로세스를 실행시킨 사용자(즉, 피해자)가 관리자 권한을 가지고 있는지부터 확인하는데, 관리자 권한이 확인될 경우 계속해서 공격용 코드를 실행한다. 만약 관리자 권한을 가지고 있지 않은 경우 권한을 상승시키기 위한 코드를 실행한다. 이는 레빌, 록빗 2.0(LockBit 2.0), 다크사이드와 같은 랜섬웨어 그룹들에서도 발견된 공격 방식이다.

또 다른 보안 업체 엠시소프트(Emsisoft)의 경우 “블랙매터가 다크사이드와 동일한 암호화 순서를 가지고 있다”고 밝히기도 했다. “다크사이드의 경우 살사20(Salsa20)이라는 매트릭스를 맞춤형으로 개조해 사용한다는 고유한 특징을 가지고 있었습니다. 이와 비슷한 방식의 암호화 기술을 블랙매터가 사용하고 있는 것이 발견되기도 했습니다.”

현재까지 블랙매터가 공격한 조직은 총 176개로 집계되고 있다. 2개월 남짓한 기간 동안 꽤나 높은 공격 성공률을 기록 중에 있다고 볼 수 있다. 이 176개 조직들 중 ‘정보 공개’의 피해까지 입은 조직은 10개다. 주요 피해국은 영국, 미국, 캐나다, 호주, 인도, 브라질, 칠레, 태국, 일본인 것으로 분석되며, 해당 지역의 큰 기업들이 주요 표적인 것으로 보인다. 스스로 병원이나 주요 사회 인프라를 공격하지 않겠다고 블랙매터는 주장하고 있는데, 아직까지는 이 약속이 지켜지고 있는 상황이다. (다크사이드도 비슷한 포지셔닝을 차지하고 있던 그룹이다.)

블랙매터는 이번 달에만 일본의 대기업 올림푸스(Olympus)를 감염시키고, 미국의 농업 서비스 업체인 뉴 코오퍼레이티브를 마비시킨 바 있다.

3줄 요약
1. 올림푸스와 뉴 코오퍼레이티브 마비시킨 블랙매터, 신인인데 활동력 왕성.
2. 분석하면 할수록 이전에 활동했던 다크사이드 랜섬웨어 그룹과 유사함.
3. 코드 스타일, 공격 방향성, 전략과 기술 등 다크사이드 판박이로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기