Sodinokibi 랜섬웨어, 해킹된 사이트의 가짜 포럼에서 배포돼

Sodinokibi Ransomware Spreads via Fake Forums on Hacked Sites

공격자들이 악성코드 배포 방식으로 해킹된 사이트의 콘텐츠 위에 가짜 Q&A 포럼을 오버레이하는 새로운 배포 방식을 생각해 냈습니다.

Sodinokibi 랜섬웨어 배포자는 워드프레스 사이트 다수를 해킹하여 원래 사이트의 콘텐츠 위에 가짜 Q&A 포럼 포스트를 표시하는 JavaScript를 주입하고 있는 것으로 나타났습니다. 

가짜 포스트에는 사이트 관리자의 답변이 달려있는데, 여기에는 랜섬웨어 인스톨러로 연결되는 링크가 포함되어 있었습니다.

이 가짜 포럼 포스트는 관리자가 제공한 답변 및 링크가 진짜처럼 보이게 하기 위해 사용자가 방문한 페이지 내용과 관련된 정보를 포함했습니다.

그러나, 다운로드한 파일은 사용자를 Sodinokibi(REvil) 랜섬웨어에 감염시킬 것입니다.

가짜 Q&A 오버레이 공격 동작 방식

EITest 크롬 HoeflerText 폰트 업데이트 공격 방식처럼 공격자는 아래와 같이 사이트를 해킹하여 HTML에 JavaScript를 주입했습니다. 

[그림 1] 주입된 오버레이 JavaScript 스크립트

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/>

누군가 해당 사이트에 처음으로 방문했을 경우, 이 스크립트는 아래와 같이 가짜 프랑스어 Q&A 포럼 포스트를 표시합니다.

[그림 2] 가짜 Q&A 포럼 포스트

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/>

가짜 포럼 포스트는 해킹된 페이지와 관련된 내용을 사용하기 때문에, 사용자에게 위 그림은 일반적인 사이트처럼 보입니다. 

하지만 실제로 이 페이지는 스크립트가 생성한 오버레이 페이지입니다.

사용자가 페이지를 새로고침 할 경우 스크립트는 실행되지 않으며 일반 페이지가 표시됩니다.

새로고침 하지 않을 경우, 다른 방문자가 프랑스어로 복사기 모델의 "계약 종료"에 대한 문의 사칭한 화면이 표시됩니다.

"안녕하세요, 복사기 모델에 대한 계약 종료 서류를 다운로드하고 싶습니다. 친구가 이 포럼에서 찾을 수 있다고 했습니다. 도와주실 수 있으세요?"

"Hello, I am looking to download letter of termination contract photocopier model. A friend told me he was on your forum. Can you help me?"

해당 질문에 대한 응답으로, 링크를 포함하는 관리자의 가짜 답변이 달려있습니다.

"복사기 모델 계약 종료 서류의 다운로드 링크는 여기입니다."

"Here is a direct download link, model letter of termination contract photocopier."

사용자가 해당 링크를 클릭할 경우, 공격자가 제어하는 해킹된 사이트 중 하나에서 zip 파일이 다운로드합니다.

이 샘플의 파일명은 "modèle_de_lettre_de_résiliation_contrat_photocopieur.zip" 이며, 해당 파일을 압축 해제하면 동일한 이름을 가진 JavaScript 파일을 확인할 수 있습니다.

[그림 3] JavaScript 인스톨러

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/>

JavaScript 파일은 대량의 데이터로 응답하는 원격 서버에 연결하는 난독화된 코드가 포함되어 있었습니다.

[그림 4] 난독화된 코드

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/>

이 데이터는 꽤 오랜 시간에 걸쳐 복호화 되며, %UserProfile% 폴더에 GIF 파일로 저장됩니다. 

이 파일은 난독화된 PowerShell 명령을 포함하고 있으며, ReadAllText.Replace 함수를 사용하여 모든 "~" 문자를 제거합니다.

[그림 5] "~" 문자를 제거하는 PowerShell 명령어

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/>

[그림 6] 난독화가 해제된 GIF 파일

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/>

암호화 프로세스가 시행되는 중에 공격자는 아래의 PowerShell 명령어를 사용하여 피해자의 섀도우 볼륨 복사본을 삭제합니다.

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

이 과정이 완료되면, 피해자의 파일은 암호화되고 복호화 툴을 결제하는 정보가 담긴 Tor 결제 사이트로 연결되는 랜섬노트가 표시됩니다.

[그림 7] Sodinokibi Tor 결제 사이트

<이미지 출처: https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/>

이러한 공격을 예방하기 위해 보안 소프트웨어로 시스템을 보호하고 확장자명이 ".js"인 경우 파일 실행 전 보안 검사를 수행하시기 바랍니다.

현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 랜섬웨어 유포 사이트를 아래와 같이 탐지하고 있으며, 알약에서는 Trojan.JS.Ransom.A으로 탐지 중에 있습니다.

[그림 8] ESTsecurity-Threat Inside 탐지 화면

출처:

https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-spreads-via-fake-forums-on-hacked-sites/