Oni 랜섬웨어, 일본 기업에 APT 공격 전개

ランサムウェア「Oni」、日本企業に標的型攻撃を展開

최근 사이버리즌(Cybereason)은 일본 기업을 표적으로 하는 랜섬웨어 'Oni'의 공격활동에 대한 정보를 발표하였습니다.  

Oni는 7월에 사일런스(Cylance)가 보고한 랜섬웨어로, 일본어로 쓰여진 협박문 등을 표시하는 특징으로 보아 일본기업을 표적으로 하는 사이버공격으로 간주되었습니다. 

사이버리즌(Cybereason)은 10월31일, 일본기업을 표적으로 하는 랜섬웨어 ‘Oni’의 공격활동에 대한 상세한 정보를 발표했다. ‘MBR-ONI’도 새롭게 발견되는 등 감염된 기업에서 금전탈취를 노린 교묘한 수법이 판명되었다.

이메일 내용은 다음과 같습니다. 

■입니다. 안녕하십니까?

영수증을 첨부하겠습니다.

확인 부탁 드리겠습니다.

Oni공격은 적어도 2016년12월에 시작하여 2017년 9월경 까지 계속된 것으로 추정됩니다. 

공격에는 '영수증' 등 제목과 함께 매크로가 포함된 악성 Office 첨부파일이 포함된 이메일이 사용된다. 만약 사용자가 첨부파일을 실행하여 매크로를 활성화 한다면, 사용자 컴퓨터에 ‘Ammyy Admin RAT’이 설치되게 됩니다. 

공격자는 이 RAT를 이용하여 네트워크에 연결되어 있는 파일서버 및 어플리케이션 서버에도 접근을 시도하며, 저장되어 있는 데이터와 시스템 등의 정보들을 계속 탐색합니다. 이 과정에서 WannaCry 등 랜섬웨어가 사용한 SMB 취약점 EternalBlue를 악용할 가능성도 존재합니다.  마지막으로 공격자는 이러한 침입 및 탐색 흔적들을 모두 삭제하고, Oni와 MBR-Oni 랜섬웨어를 사용하여 데이터를 암호화 하거나 컴퓨터를 사용불능으로 만들어 랜섬머니를 요구합니다. 

Oni는 주로 PC 등 엔드포인트에 대한 공격에 사용되며, 감염되면 PC의 데이터들은 암호화됩니다. 파일을 암호화 한 후 확장자를 '.oni'로 변경하기 때문에, 여기서 랜섬웨어의 이름이 유래되었습니다. 한편 MBR-ONI는 파일 서버와 도메인 컨트롤러, Active Directory 서버 공격에 사용되며, MBR을 파괴하는 것으로 밝혀졌습니다. 

보안연구원은 Oni와 MBR-ONI가 동일 공격자에 의해 제작된 것으로 추정하고 있있습니다. 또한 공격 목적은 금전적 이득으로 보이지만, 수개월에 이르는 공격시간과 교묘한 수법, 표적이 된 기업들의 사업 내용 등을 보았을 때 금전적인 이득 이외의 또 다른 목적이 있을 수도 있다고 추정된다고 밝혔습니다. 

공격 받은 기업의 경우, 수백 대의 단말이 Oni에 감염되기 직전 상태에 노출되긴 했지만 심각한 피해에는 이르지 않았다고 한다.

이번 oni의 공격을 일본만의 현상으로 보지 않고 있으며, ‘NotPetya’과 ‘Bad Rabbit’ 등과 마찬가지로 기업을 표적으로 하는 랜섬웨어 공격에 주의해야 합니다.

출처 :

https://japan.zdnet.com/article/35109710/