청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 2
2019.05.15 (09:15:41)
알루미늄 업체 등 산업 시설 주로 공격했던 록커고가
영화 매트릭스를 테마로 했던 메가코텍스...코드는 닮지 않았는데


최근 새롭게 발견된 랜섬웨어인 메가코텍스(MegaCortex)에서 록커고가(LockerGoga) 랜섬웨어와의 유사성이 발견됐다. 메가코텍스는 지난 주 보안 업체 소포스(Sophos)가 상세히 발표한 멀웨어로, 영화 ‘매트릭스’를 테마로 했다는 특징을 가지고 있으며 미국, 유럽, 캐나다 등지에서 여러 조직들을 감염시키고 있다.

[이미지 = iclickart]


발 표 이후로도 메가코텍스에 대한 조사는 계속됐다. 피해자들은 침해된 도메인 제어기에서부터 공격이 시작된다고 제보했고, 공격자들은 훔친 관리자 크리덴셜을 가지고 파워셸 스크립트를 실행시킨다는 걸 알게 됐다. 보안 업체 시스코(Cisco)의 수석 위협 솔루션 관리자인 제시카 베어(Jessica Bair)는 “이 두 가지 특성 모두 굉장히 독특한 것”이라고 말했다.

또한 소포스는 메가코텍스 랜섬웨어가 대부분 이모텟(Emotet)과 큐봇(Qbot)에 이미 감염된 조직이나 시스템에서 주로 발견된다는 특징도 발견했다. 이모텟과 큐봇 모두 그 자체로 멀웨어이기도 하지만, 추가 감염을 실시하는 데에도 널리 활용되는 것으로 악명이 높다. 소포스는 “이모텟과 큐봇을 먼저 탐지해내는 작업을 실시하는 게 도움이 될 것”이라고 발표했다.

소포스는 이번 주 메가코텍스에 대해 추가적인 사실들을 알아냈다. “지난 주 최초 발표 이후 새로운 사실들을 몇 가지 찾아냈습니다. 주로 세부적인 내용들인데, 이걸 전부 합쳐서 보면 한 가지 커다란 특성이 떠오릅니다. 바로 록커고가라는 랜섬웨어와 많은 부분 닮아 있다는 겁니다. 코드는 비슷하지 않은데, 희한하게 다른 부분에서 유사성이 나오고 있습니다.” 소포스의 수석 연구원인 쳇 위즈니우스키(Chet Wisniewski)의 설명이다.

록커고가와의 관계성
록커고가는 최근 알루미늄 업계 대기업인 노르스크 하이드로(Norsk Hydro)를 공격한 것으로 유명해진 랜섬웨어다. 뒤이어 미국과 유럽의 주요 산업 시설에서 발견되기도 했다. 현재까지 나타난 록커고가의 주요 특징은, 침투한 시스템의 비밀번호를 바꾸고 피해자를 강제로 로그아웃 시켜 접근하지 못하게 한다는 것이다.

그런데 이 록커고가의 특징들이 메가코텍스에서도 발견된다고 위즈니우스키는 설명한다. “두 랜섬웨어 모두, 공격자들이 침해된 도메인 제어기를 사용해 주요 페이로드를 퍼트립니다. 그리고 내부 네트워크에서부터 리버스 셸을 열어 자신들의 C&C 서버와 연결시킵니다. 이 때 C&C 주소 중 일부가 같다는 걸 발견했습니다. 즉 록커고가 공격과 메가코텍스 공격에 사용된 인프라가 살짝 겹친다는 겁니다.”

또한 메가코텍스는 암호화 하려는 파일들의 이름부터 바꾼다는 특징을 가지고 있다. 이는 랜섬웨어 생태계에서는 매우 드문 일이다. 암호화가 끝난 후 파일 이름을 바꾸는 게 보통이다. 그런데 록커고가에서도 이런 특징이 있었다. “랜섬웨어 공격자들이 같은 파일을 두 번 암호화하는 사고를 일으키지 않기 위해 이런 식의 방식을 채택한 것으로 보입니다.”

여기에 더해 배치 파일을 공격에 사용하는 부분에서도 둘이 비슷했다. “록커고가의 공격이 진행되는 동안 다른 프로세스들을 꺼버리기 위해 사용하는 배치 파일들과, 메가코텍스의 그것들이 거의 완벽하게 똑같습니다. 물론 그렇다고 해서 코텍스의 출처와 록커고가의 출처가 동일하다고 결론을 내릴 수는 없습니다. 지금으로서는 우연인지 필연인지 비슷한 부분이 많다는 것만 알 수 있는 것이죠.”

메가코텍스는 전혀 상관이 없는 멀웨어 패밀리들 중 서명된 것들의 CN(일반명, common name)을 흉내 낸 CN을 사용해 바이너리를 서명하기도 한다. “예를 들어 메가코텍스 멀웨어의 실행파일 중 하나를 서명하는 데 사용된 암호화 인증서의 CN을 요청했을 때, 금융 기관을 대상으로 한 크리덴셜 탈취형 멀웨어인 리트스푸프(Rietspoof)가 결과로 나왔습니다. 코드에서나 그 어떤 면에서도 전혀 상관이 없는 멀웨어인데 말이죠.”

이 부분에 대해서 위즈니우스키는 “공격자들이 이렇게 하는 이유를 모르겠다”고 말한다. “그러나 공격자들은 수사를 방해하기 위해 쓸데없는 기능과 절차를 마구 집어넣기도 합니다. CN을 이런 식으로 조작하는 것도 그러한 행위의 일환일 수 있습니다.”

인 증서를 추적하다가 또 하나 재미있는 사실을 발견할 수 있었다. “인증서에 나타난 주소가 런던의 롬퍼드라는 장소였어요. 또한 74000개 이상의 영국 기업체들과도 관련이 있는 것으로 나타났고요. 기타 다른 멀웨어 바이너리들을 서명하는 데에 이 주소를 가진 인증서들이 다수 발행되거나 사용되었다는 증거를 찾아낼 수 있었습니다. 아직 이 부분에 대한 추적은 계속되고 있습니다.”
번호 제목 닉네임 조회 등록일
8054 리눅스 커널에서 메모리 변형 취약점 발견돼...권한 상승 유발 새 글
[레벨:30]관리자
  2019-05-22
8053 SW 업데이트와 인보이스 요청? 계정탈취와 랜섬웨어 감염 노린다 새 글
[레벨:30]관리자
  2019-05-22
8052 또 개발자 플랫폼 피격! 스택 오버플로우 플랫폼 해킹당하다 새 글
[레벨:30]관리자
  2019-05-22
8051 모의해킹 전문인력 찾는 기업 3곳은 어디?
[레벨:30]관리자
  2019-05-21
8050 中 공공 와이파이 중 40% 보안 위험...ARP 공격 위주
[레벨:30]관리자
  2019-05-21
8049 美 법무부, 미국 회사 4곳 해킹해 7천800만 명 정보 유출한 中 해커 기소
[레벨:30]관리자
1 2019-05-20
8048 새로운 인텔 부채널 보안취약점, 좀비로드에 대한 리눅스 진영의 대응
[레벨:30]관리자
  2019-05-20
8047 TA505 해킹조직, 피싱 메일 살포해 악성 설치파일 유포중...주의
[레벨:30]관리자
  2019-05-20
8046 프랑스 해커, 모든 삼성 스마트폰 벽돌로 만들 수 있는 방법 발견
[레벨:30]관리자
  2019-05-20
8045 지불 카드 노리는 메이지카트, 포브스 매거진도 당했다
[레벨:30]관리자
  2019-05-20
8044 中 이동전화기 바이러스, 요금 소모차감·정보절취 유형 많아
[레벨:30]관리자
2 2019-05-17
8043 블랙테크 해커들, 에이수스 클라우드 서비스에 중간자 공격 실시
[레벨:30]관리자
4 2019-05-17
8042 사이버 공격자들, 사이퍼 스턴팅이라는 기술로 악성 트래픽 감춰
[레벨:30]관리자
2 2019-05-17
8041 구직자 울리는 대기업 채용 사칭한 스팸 사기 판친다
[레벨:30]관리자
1 2019-05-17
8040 이번엔 랜섬웨어다! 견적서 사칭 이메일 공격 또 발견
[레벨:30]관리자
3 2019-05-16
8039 소리로 암호를 훔친다, 부채널 공격
[레벨:30]관리자
1 2019-05-16
8038 연결된 블루투스 기기 인식하는 악성 코드 제작한 한국어 사용하는 해킹 조직 ScarCruft
[레벨:30]관리자
3 2019-05-15
8037 북한의 공격 단체 스카크러프트, 최근 블루투스도 공격에 활용
[레벨:30]관리자
1 2019-05-15
8036 웹 서비스 2곳의 오픈소스 공격해 4K 웹사이트 침해
[레벨:30]관리자
3 2019-05-15
Selected 최근 발견된 2가지 랜섬웨어, 닮은 점 여러 개 발견
[레벨:30]관리자
2 2019-05-15
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X