합법적인 웹사이트에 숨어있는 Gandcrab 랜섬웨어 발견 돼

GANDCRAB RANSOMWARE FOUND HIDING ON LEGITIMATE WEBSITES

GandCrab 랜섬웨어가 지속적으로 확산 되고 있으며, 변화하는 사이버 환경에 적응하고 있습니다. 최근에는 대규모의 스팸 캠페인으로 돌아왔습니다.

GandCrab의 페이로드가 해킹 된 합법적인 사이트에 숨어있는 것이 발견 되었습니다. 분석 결과, 해당 웹사이트는 업데이트 되지 않은 소프트웨어로 인한 취약점으로 가득했습니다.

이 캠페인을 분석하고 보고서를 발행한 연구원들은 아래와 같이 밝혔습니다.

“많은 중소기업들이 웹 프레임워크의 새로운 취약점에 대해 알지 못하며, 알고 있더라도 소프트웨어를 제때 업데이트 할 수 있는 전문 기술과 시간이 부족합니다.”

“하지만 공격자들은 이러한 취약점을 빠르게 악용하고 인터넷을 스캔해 타겟을 찾습니다. 공격자가 스팸 캠페인을 위해 해킹 된 사이트들을 악용하는 것은 매우 효과적입니다. 지속성을 유지할 필요가 없으며, 시스템을 포인팅할 수 있는 특정 위치로 파일을 복사해 대상을 감염시키는 것 이외에는 딱히 할 일이 많지 않기 때문입니다.”

합법적인 페이로드 호스트

연구원들은 5월의 첫 1주일 동안 거의 동일한 4건의 공격을 탐지했습니다. 인터넷 쇼핑 미끼를 사용한 이메일은 본문 텍스트와 ZIP 파일 또는 VBScript 파일이 첨부되어 있습니다. 이 파일을 오픈할 경우, 웹사이트로부터GandCrab 랜섬웨어를 받아오게 됩니다.

더욱 자세히 파헤쳐본 결과, 연구원들은 이 악성코드가 악성 링크가 아닌 인도의 택배 회사, 약초로 만든 약품을 판매하는 워드프레스 사이트 등 합법적인 웹사이트에서 제공되고 있음을 발견했습니다.

인도의 웹사이트를 분석한 결과, 문제는 웹사이트의 코드에 있었습니다. 디폴트 크리덴셜을 사용하고 있었으며, 다수의 MySQL 취약점이 발견 되었습니다. 워드프레스 사이트에서는 1년 이상 지난 구버전 워드프레스 CMS를 사용하고 있었습니다. 이 사이트 둘 다 웹 프레임워크의 관리 페이지가 공개적으로 노출 되어 있었습니다.

공격자들이 오래 된 소프트웨어를 사용하는 사이트를 악용하는 것은 매우 쉬운 방법입니다. 이를 악용하면 도메인 등록, VPS 구매, 파일을 호스팅 하기 위한 웹서버 구성 등 악성 코드를 배포하는 데 드는 시간과 돈을 절약할 수 있습니다.

또한 웹사이트의 평판을 이용해 악성 사이트를 차단하는 기술들을 우회할 수도 있습니다.

페이로드

GandCrab은 RIG와 GrandSoft 익스플로잇 키트, 이메일 스팸을 통해 배포되지만, GandCrab Affiliate Program을 통해서도 배포 됩니다. 연구원들의 최근 연구에서는 이 프로그램에 참여하면 전체적인 기술 지원의 대가로 랜섬머니의 60-70퍼센트를 받을 수 있는 것으로 나타났습니다. 연구원들은 가장 큰 협력업체가 3월에만 700개의 서로 다른 샘플을 배포한 것을 발견했습니다.

연구원들은 “GandCrab은 꾸준히 개발 되고 있습니다. 제작자들은 공격적인 속도로 새로운 버전을 공개하고 있습니다.”

“이는 파일을 암호화 후 .CRAB 확장자를 붙이고, 사용자의 백그라운드를 변경하며 통신을 위해 Tor를 사용하는 등 전형적인 랜섬웨어 작업을 수행합니다.”고 밝혔습니다.

예를 들면, 이 악성코드는 무료 복호화 툴이 개발 되자 이에 빠르게 대처했습니다. 지난 2월 비트디펜더와 유로폴, 그리고 루마니아 경찰이 이 악성코드의 인프라를 해킹해 피해자들이 무료로 파일을 복호화할 수 있는 툴을 개발해냈습니다. 

하지만, 제작자들은 단 한달 만에 복호화 툴을 만들 수 있었던 프로그램의 취약점을 수정한 새 버전을 내놓았습니다.

악성코드의 트렌드가 가상화폐 마이닝으로 바뀌어가고 있는 추세이지만, 랜섬웨어 분야는 여전히 수 십억달러를 벌어들이고 있습니다. 합법적인 사이트를 사용해 페이로드를 숨기는 등의 기술을 사용할 경우 돈을 벌어들이는 작업은 더욱 쉬워집니다.

연구원들은 “GandCrab과 같은 위협은 계속해서 나타날 것입니다. 수 천개의 취약점을 가진 플랫폼들을 아직까지 사용하는 웹 페이지들이 수백만 개나 있습니다. 이러한 페이지들 중 대부분은 규모가 작은 조직이 만들어 관리하고 있기 때문에, 이들은 제기되고 있는 취약점에 대한 지식이나 대처 방법을 모를 가능성이 높습니다. 따라서 이는 당분간 계속해서 문제가 될 것입니다. 공격자들이 합법적인 웹사이트에 악성코드를 숨길 수 있는 한, 웹사이트의 평판은 더 이상 믿을 수 없게 될 것입니다.”고 밝혔습니다.

출처 : 

https://threatpost.com/gandcrab-ransomware-found-hiding-on-legitimate-websites/131897/

https://blog.talosintelligence.com/2018/05/gandcrab-compromised-sites.html