포스팅 내용

국내외 보안동향

중국에서 급속히 확산 되는 새로운 랜섬웨어, PC 10만대 이상 감염 시켜

New Ransomware Spreading Rapidly in China Infected Over 100,000 PCs


새로운 랜섬웨어가 중국에서 급격히 확산 되고 있습니다. 이는 공급망 공격을 통해 지난 4일간 10만대 이상의 컴퓨터를 감염시켰으며, 피해자는 매 시간마다 증가하고 있는 상태입니다.


흥미로운 점은, 다른 랜섬웨어들과는 달리 이 새로운 바이러스는 랜섬머니를 비트코인으로 요구하지 않는다는 것입니다.


대신 공격자들은 피해자들에 WeChat Pay를 통해 110위안(약 18,000원)을 지불하라고 요구합니다.


<이미지 출처: https://www.huorong.cn/info/1543706624172.html>


랜섬웨어 + 패스워드 스틸러 : 지난 해 전세계적으로 큰 혼란을 일으켰던 WannaCry와 NotPetya 랜섬웨어와는 다르게, 이 새로운 중국 랜섬웨어는 중국 사용자만을 대상으로 하고 있습니다.


이는 사용자의 Alipay, NetEase 163 이메일 서비스, Baidu 클라우드 디스크, Jingdong (JD.com), Taobao, Tmall , AliWangWang, QQ 웹사이트의 계정 패스워드를 훔치는 기능 또한 포함하고 있습니다.


공급망 공격 : 중국의 사이버 보안 회사인 Velvet Security에 따르면, 공격자들은 많은 어플리케이션 개발자들이 사용하고 있는 “EasyLanguage” 프로그래밍 소프트웨어 안에 악성 코드를 추가했습니다.


악의적으로 변조 된 이 프로그래밍 소프트웨어는 이를 통해 컴파일 되는 모든 어플리케이션에 랜섬웨어 코드를 주입하도록 설계되었습니다. 이는 바이러스를 신속히 확산시키기 위한 소프트웨어 공급망 공격의 또 다른 예가 되었습니다.


많은 소프트웨어를 설치한 10만명 이상 중국 사용자들의 시스템이 손상을 입었습니다. 이 랜섬웨어는 gif, exe, tmp 확장자를 제외한 감염 된 시스템의 모든 파일을 암호화합니다.


훔친 디지털 서명 사용 – 안티바이러스 프로그램의 탐지를 피하기 위해 공격자들은 Tencent Technologies 사에서 훔친 디지털 서명으로 그들의 악성코드를 서명했으며, "Tencent Games, League of Legends, tmp, rtl, program"과 같은 특정 디렉토리의 데이터는 암호화 하지 않았습니다.


파일 암호화를 끝낸 후 이 랜섬웨어는 복호화 키를 받기 위해서는 공격자의 WeChat 계정에 3일 이내로 110위안을 입금하라는 팝업을 띄웁니다.


<Tencent의 디지털 서명>

< 이미지 출처: https://www.huorong.cn/info/1543706624172.html> 


만약 제 시간안에 돈을 지불하지 못할 경우, 이 악성코드는 자동으로 원격 C&C 서버에서 복호화 키를 삭제하겠다고 협박합니다.


사용자의 파일을 암호화하는 것 이외에도 이 랜섬웨어는 사용자의 인기있는 중국 웹사이트와 소셜 미디어 계정의 로그인 크리덴셜을 은밀히 훔쳐 원격 서버로 보냅니다.


또한 CPU 모델, 화면 해상도, 네트워크 정보 및 설치된 소프트웨어 목록을 포함한 시스템 정보를 수집합니다.

랜섬웨어 크래킹 성공 – 중국의 사이버 보안 연구원들은 이 랜섬웨어가 엉망으로 프로그래밍 되어 있었으며, 공격자들은 암호화 프로세스에 대해 거짓말을 했다고 밝혔습니다.


이 랜섬웨어는 사용자의 파일이 DES 암호화 알고리즘으로 암호화 된다고 밝혔지만, 실제로는 덜 강력한 XOR 사이퍼를 사용하며 복호화 키의 복사본을 피해자의 시스템에 로컬로 저장합니다. 위치는 아래와 같습니다:

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg


이 정보를 활용해 Velvet의 보안 팀은 피해자들이 랜섬머니를 지불하지 않고도 파일을 쉽게 복호화 할 수 있도록 무료 랜섬웨어 복호화 툴을 만들어 배포했습니다.


또한 연구원들은 공격자의 C&C 서버 및 MySQL 데이터베이스 서버를 해킹해 접근하는데 성공했으며, 해당 서버에 저장 된 수 천건의 훔친 크리덴셜을 발견했습니다.


이 랜섬웨어의 배후는?


공개적으로 접근 가능한 정보를 활용해, 연구원들은"lsy resource assistant"와 "LSY classic alarm v1.1”를 개발한 소프트웨어 프로그래머인 “Luo”를 용의자로 지목했습니다.


그의 QQ 계정 번호, 휴대 전화번호, Alipay ID와 이메일 ID가 연구원이 수집한 공격자의 WeChat 계정 정보와 동일했습니다.


WeChat은 신고를 받고 공격자가 랜섬머니를 받는데 사용한 계정을 정지 시켰습니다.

연구원들은 중국의 법 집행 기관에 이를 신고한 상태입니다.



출처 :

https://thehackernews.com/2018/12/china-ransomware-wechat.html

https://www.huorong.cn/info/1543706624172.html



티스토리 방명록 작성
name password homepage