NEWS

HOME

SECURITY NEWS

[보안뉴스] 최근 발견된 2가지 랜섬웨어, 닮은 점 여러 개 발견
  • 관리자
  • |
  • 2474
  • |
  • 2019-05-15 11:14:19

알루미늄 업체 등 산업 시설 주로 공격했던 록커고가

영화 매트릭스를 테마로 했던 메가코텍스...코드는 닮지 않았는데

[보안뉴스 문가용 기자] 최근 새롭게 발견된 랜섬웨어인 메가코텍스(MegaCortex)에서 록커고가(LockerGoga) 랜섬웨어와의 유사성이 발견됐다. 메가코텍스는 지난 주 보안 업체 소포스(Sophos)가 상세히 발표한 멀웨어로, 영화 ‘매트릭스’를 테마로 했다는 특징을 가지고 있으며 미국, 유럽, 캐나다 등지에서 여러 조직들을 감염시키고 있다.

[이미지 = iclickart]


발표 이후로도 메가코텍스에 대한 조사는 계속됐다. 피해자들은 침해된 도메인 제어기에서부터 공격이 시작된다고 제보했고, 공격자들은 훔친 관리자 크리덴셜을 가지고 파워셸 스크립트를 실행시킨다는 걸 알게 됐다. 보안 업체 시스코(Cisco)의 수석 위협 솔루션 관리자인 제시카 베어(Jessica Bair)는 “이 두 가지 특성 모두 굉장히 독특한 것”이라고 말했다.

또한 소포스는 메가코텍스 랜섬웨어가 대부분 이모텟(Emotet)과 큐봇(Qbot)에 이미 감염된 조직이나 시스템에서 주로 발견된다는 특징도 발견했다. 이모텟과 큐봇 모두 그 자체로 멀웨어이기도 하지만, 추가 감염을 실시하는 데에도 널리 활용되는 것으로 악명이 높다. 소포스는 “이모텟과 큐봇을 먼저 탐지해내는 작업을 실시하는 게 도움이 될 것”이라고 발표했다.

소포스는 이번 주 메가코텍스에 대해 추가적인 사실들을 알아냈다. “지난 주 최초 발표 이후 새로운 사실들을 몇 가지 찾아냈습니다. 주로 세부적인 내용들인데, 이걸 전부 합쳐서 보면 한 가지 커다란 특성이 떠오릅니다. 바로 록커고가라는 랜섬웨어와 많은 부분 닮아 있다는 겁니다. 코드는 비슷하지 않은데, 희한하게 다른 부분에서 유사성이 나오고 있습니다.” 소포스의 수석 연구원인 쳇 위즈니우스키(Chet Wisniewski)의 설명이다.

록커고가와의 관계성
록커고가는 최근 알루미늄 업계 대기업인 노르스크 하이드로(Norsk Hydro)를 공격한 것으로 유명해진 랜섬웨어다. 뒤이어 미국과 유럽의 주요 산업 시설에서 발견되기도 했다. 현재까지 나타난 록커고가의 주요 특징은, 침투한 시스템의 비밀번호를 바꾸고 피해자를 강제로 로그아웃 시켜 접근하지 못하게 한다는 것이다.

그런데 이 록커고가의 특징들이 메가코텍스에서도 발견된다고 위즈니우스키는 설명한다. “두 랜섬웨어 모두, 공격자들이 침해된 도메인 제어기를 사용해 주요 페이로드를 퍼트립니다. 그리고 내부 네트워크에서부터 리버스 셸을 열어 자신들의 C&C 서버와 연결시킵니다. 이 때 C&C 주소 중 일부가 같다는 걸 발견했습니다. 즉 록커고가 공격과 메가코텍스 공격에 사용된 인프라가 살짝 겹친다는 겁니다.”

또한 메가코텍스는 암호화 하려는 파일들의 이름부터 바꾼다는 특징을 가지고 있다. 이는 랜섬웨어 생태계에서는 매우 드문 일이다. 암호화가 끝난 후 파일 이름을 바꾸는 게 보통이다. 그런데 록커고가에서도 이런 특징이 있었다. “랜섬웨어 공격자들이 같은 파일을 두 번 암호화하는 사고를 일으키지 않기 위해 이런 식의 방식을 채택한 것으로 보입니다.”

여기에 더해 배치 파일을 공격에 사용하는 부분에서도 둘이 비슷했다. “록커고가의 공격이 진행되는 동안 다른 프로세스들을 꺼버리기 위해 사용하는 배치 파일들과, 메가코텍스의 그것들이 거의 완벽하게 똑같습니다. 물론 그렇다고 해서 코텍스의 출처와 록커고가의 출처가 동일하다고 결론을 내릴 수는 없습니다. 지금으로서는 우연인지 필연인지 비슷한 부분이 많다는 것만 알 수 있는 것이죠.”

메가코텍스는 전혀 상관이 없는 멀웨어 패밀리들 중 서명된 것들의 CN(일반명, common name)을 흉내 낸 CN을 사용해 바이너리를 서명하기도 한다. “예를 들어 메가코텍스 멀웨어의 실행파일 중 하나를 서명하는 데 사용된 암호화 인증서의 CN을 요청했을 때, 금융 기관을 대상으로 한 크리덴셜 탈취형 멀웨어인 리트스푸프(Rietspoof)가 결과로 나왔습니다. 코드에서나 그 어떤 면에서도 전혀 상관이 없는 멀웨어인데 말이죠.”

이 부분에 대해서 위즈니우스키는 “공격자들이 이렇게 하는 이유를 모르겠다”고 말한다. “그러나 공격자들은 수사를 방해하기 위해 쓸데없는 기능과 절차를 마구 집어넣기도 합니다. CN을 이런 식으로 조작하는 것도 그러한 행위의 일환일 수 있습니다.”

인증서를 추적하다가 또 하나 재미있는 사실을 발견할 수 있었다. “인증서에 나타난 주소가 런던의 롬퍼드라는 장소였어요. 또한 74000개 이상의 영국 기업체들과도 관련이 있는 것으로 나타났고요. 기타 다른 멀웨어 바이너리들을 서명하는 데에 이 주소를 가진 인증서들이 다수 발행되거나 사용되었다는 증거를 찾아낼 수 있었습니다. 아직 이 부분에 대한 추적은 계속되고 있습니다.”

그러나 이 주소와 사이버 범죄 행위, 그리고 74,000개의 기업의 관계에 대해서는 정확히 파악되지 않고 있다. 

3줄 요약
1. 최근 발견된 랜섬웨어 두 개, 메가코텍스와 록커고가.
2. 이 두 가지 랜섬웨어 사이에서 관련성 및 유사성 꽤나 발견되고 있음. 
3. 아직 개발자가 같다거나, 공격자가 같은 단체라고 결론을 내릴 정도는 아니지만, 상당히 의심스러움.

[국제부 문가용 기자(globoan@boannews.com)] 

 

[출처 : 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=79483]

이전글 [보안뉴스] 스마트시티에 닥칠 수 있는 보안 위협 6가지
다음글 [보안뉴스] 윈도우 원격관리기능 취약점 ‘RDP’ 보안 업데이트 시급
비밀번호 입력
비밀번호
확인
비밀번호 입력
비밀번호
확인
TOP