상세 컨텐츠

본문 제목

Altran 공격에 사용 된 것으로 추정 되는 LockerGoga 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2019. 1. 31. 16:32

본문

New LockerGoga Ransomware Allegedly Used in Altran Attack


해커들이 Altran Technologies의 시스템을 회사 네트워크를 통해 확산 되는 악성코드로 감염시켜 일부 유럽 국가의 운영에 영향을 미치고 있습니다. 


고객의 데이터와 그들의 자산을 보호하기 위해, Altran은 네트워크와 응용프로그램을 중단시키기로 결정했습니다.


이 공격은 1월 24일 발생했지만, 이 프랑스의 기술 컨설팅 회사는 어제가 되어서야 공개 성명을 발표했습니다. 


또한 세부 정보 공개를 최소한으로 하며, 써드파티 기술 전문가와 디지털 포렌식 전문가들이 조사 중이라 밝혔습니다.


Altran, 새로운 랜섬웨어인 LockerGoga에 공격 받은 것으로 추정


Altran은 공격을 받은 악성 코드의 유형에 대해서는 언급하지 않았지만, 보안 연구원들은 공개 된 단서들로 미루어보아 랜섬웨어 공격일 것이라는 결론을 내렸습니다.


Altran이 받은 사이버 공격이 온라인상에 처음으로 밝혀진 곳은 1월 25일 발행 된 한 트윗에서였습니다. 한 보안 연구원은 이 트윗에 해당 공격의 배후에 있던 악성코드 샘플이 바이러스 토털에 업로드 되어 있다고 답변했습니다.


이 샘플은 1월 24일 루마니아에서 바이러스 토털에 처음으로 업로드 되었으며, 이후 네덜란드에서도 업로드 되었습니다.


구글의 스캐닝 서비스에 업로드 된 파일이 Altran을 공격한 것과 동일하다면, 이는 LockerGoga라는 랜섬웨어일 것입니다.


이 랜섬웨어를 테스트 한 결과, 파일을 암호화 할 때 마다 또 다른 프로세스를 생성하는 방식을 사용하기 때문에 매우 느린 것을 발견했습니다. 연구원들은 이 코드가 탐지를 피하는데 어떠한 노력도 하지 않았다고 밝혔습니다.


연구원에 따르면, 이 랜섬웨어는 보통 DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX, PDF 파일을 노립니다.


하지만 이 랜섬웨어가 –w 명령줄 인수로 시작 되면, 모든 파일 타입을 타겟으로 합니다. 지원 되는 또 다른 스위치는 ‘-k’, ‘-m’이며 base 64 인코딩, 랜섬 노트에 표시 될 이메일 주소 제공을 담당합니다.


이 랜섬웨어는 파일을 암호화한 후 .locked 확장자를 붙입니다. 즉 test.jpg 파일이 암호화 될 경우 test.jpg.locked로 이름이 변경 될 것입니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/>


데이터 암호화가 완료 되면, 이는 데스크탑에 랜섬노트인 README-NOW.txt를 드랍합니다. 여기에는 돈 지불 방법을 알아내기 위해서 CottleAkela@protonmail.com 또는 QyavauZehyco1994@o2.pl 이메일 주소에 연락하라는 내용이 포함 되어 있습니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/>



LockerGoga, 유효한 인증서 사용해


McAfee의 연구원인 Thomas Roccia에 따르면, 이 LockerGoga 변종은 유효한 인증서로 서명 되어 있어 피해자의 호스트가 대부분의 경우 의심 없이 설치할 가능성을 높입니다.


하지만, 윈도우의 경고창을 자세히 살펴 보면 무언가 이상한 점을 발견할 수 있습니다. 이는 윈도우 서비스용 호스트 프로세스이지만, 인증서는 MIKL Limited의 것이기 때문입니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/>


이 인증서는 Comodo CA에서 발행 되었으며, 현재는 취소 된 상태입니다.


LockerGoga 랜섬웨어의 알려진 파일 샘플들은 ‘worker’와 ‘worker32’ 입니다. 이 악성코드는 'svch0st', 'svchub'과 같이 마이크로소프트가 윈도우 서비스에 사용하는 것과 유사한 프로세스 이름을 사용합니다.


Yara를 사용하여 이 패밀리의 감염을 탐지하고자 하는 이들을 위해, 보안 연구원인 V는 LockerGoga 랜섬웨어로부터 시스템을 보호할 수 있는 첫번째 룰을 발표했습니다.


알약에서는 해당 악성코드에 대해 Trojan.Ransom.Filecoder로 탐지중에 있습니다. 


출처 :

https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/



관련글 더보기

댓글 영역