새로운 Ryuk 인포 스틸러, 정부 및 군대 기밀 노려

New Ryuk Info Stealer Targets Government and Military Secrets

Ryuk 스틸러 악성코드의 새로운 버전이 군대, 정부, 금융, 재무제표, 은행 관련 및 기타 민감 데이터와 관련된 기밀 파일을 대량으로 훔치도록 개선된것이 확인되었습니다.

2019년 9월, 연구원들은 Ryuk 랜섬웨어에 대한 참조를 포함하고 파일 이름에 특정 키워드가 포함되어 있을 경우 이를 훔치는 새로운 악성코드에 대해 발표했습니다.

Ryuk 랜섬웨어 운영자가 피해자의 컴퓨터에서 데이터를 암호화하기 전 데이터를 유출하기 위해 이 툴을 개발했는지, 아니면 다른 공격자가 Ryuk 랜섬웨어의 코드를 차용한 것인지는 아직 확인되지 않았습니다.

이 악성코드는 훔친 파일이 유출될 경우 정부, 군사 작전, 법 집행 사건 등에 매우 치명적인 영향을 미칠 수 있는 구체적인 키워드를 노리는 것으로 나타났습니다. 

새로운 기능을 추가한 Ryuk 스틸러

최근 MalwareHunterTeam이 발견한 Ryuk 스틸러 악성코드의 새로운 변종은 파일 내용 스캐닝 기능을 추가했으며, 파일을 훔칠지 결정하는 키워드 목록에 새로운 단어를 추가했습니다.

Ryuk 스틸러의 이전 버전은 컴퓨터에서 워드(docx) 및 엑셀 (xlsx) 문서만을 스캔했습니다.

Kremez에 따르면, 이 스틸러의 새로운 버전은 C++ 소스코드, 추가 워드 및 엑셀 문서 타입, JPG 이미지 파일, 가상화폐 지갑 등과 관련된 파일 타입 7개를 추가로 스캔합니다.

<타깃 확장자>

이 악성코드가 노리는 전체 확장자 목록은 아래와 같습니다.

.cpp

.h

.xls

.xlsx

.doc

.docx

.pdf

wallet.dat

.jpg

파일의 확장자가 위의 목록 중 하나일 경우, 스틸러는 파일이 아래 키워드 85개 중 하나를 포함하고 있는지 확인합니다.

'personal', 'securityN-CSR10-SBEDGAR', 'spy', 'radar', 'agent', 'newswire', 'marketwired', '10-Q', 'fraud', 'hack', 'defence', 'treason', 'censored', 'bribery', 'contraband', 'operation', 'attack', 'military', 'tank', 'convict', 'scheme', 'tactical', 'Engeneering', 'explosive', 'drug', 'traitor', 'suspect', 'cyber', 'document', 'embeddedspy', 'radio', 'submarine', 'restricted', 'secret', 'balance', 'statement', 'checking', 'saving', 'routing', 'finance', 'agreement', 'SWIFT', 'IBAN', 'license', 'Compilation', 'report', 'secret', 'confident', 'hidden', 'clandestine', 'illegal', 'compromate', 'privacy', 'private', 'contract', 'concealed', 'backdoorundercover', 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'unclassified', seed', 'personal', 'confident', 'mail', 'letter', 'passport', 'victim', 'court', 'NATO', 'Nato', 'scans', 'Emma', 'Liam', 'Olivia', 'Noah', 'William', 'Isabella', 'James', 'Sophia', 'Logan', 'Clearance'

추가로, 스틸러는 파일 이름에 아래 키워드 55개 중 하나가 포함되어 있는지 확인합니다.

'SECURITY', 'N-CSR', '10-SB', 'EDGAR', ' spy ', 'radar', 'censored', 'agent', 'newswire', 'marketwired', '10-Q', 'fraud', 'hack', 'NATO', 'Nato', 'convictMilitary', 'military', 'submarine', 'Submarinesecret', 'Secret', 'scheme', 'tactical', 'Engeneering', 'explosive', 'drug', 'traitor', 'embeddedspy', 'radio', 'suspect', 'cyber', 'document', 'treasonrestricted', 'private', 'confident', 'important', 'pass', 'victim', 'court', 'hidden', 'bribery', 'contraband', 'operation', 'undercover', 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'unclassified', 'concealed', 'newswire', 'marketwired', 'Clearance'

만약 위 조건을 만족하는 문서가 발견되면, 이 악성코드는 공격자가 제어하는 FTP 사이트에 해당 문서를 업로드합니다. 악성코드가 사용하는 내장된 FTP 사이트 2개는 현재 다운된 상태입니다.

민감도 높은 문서 노려

위에서 살펴보았듯, 이 악성코드의 타깃 키워드는 다양한 카테고리의 민감한 주제를 노립니다.

뱅킹: 'SWIFT', 'IBAN', 'balance', 'statement', 'checking', 'saving', 'routing'

금융: 'N-CSR', '10-SB', 'EDGAR', 'newswire', 'marketwired', '10-Q'

법 집행: 'clandestine', 'investigation', 'federal', 'bureau', 'government', 'security', 'victim', 'court'

군대: 'NATO', 'operation', 'attack', 'spy', 'radar', 'tactical', 'tank', 'submarine'

개인: 'personal', 'passport', 'Emma', 'Liam, 'Olivia, 'Noah', 'William', 'Isabella', 'James', 'Sophia', 'Logan'

‘개인’ 카테고리의 이름은 미 사회보장국의 가장 많이 사용되는 아기 이름 목록에서 따온 것으로 보입니다.

최신 버전에 추가된 새로운 검색어는 'treason', 'NATO', 'convict', 'traitor', 'embeddedspy', 'cyber', 'submarine', 'Submarinesecret', 'contraband', 'radio', 'suspect', 'operation', 'bribery'입니다.

이 악성코드가 사용하는 타깃 키워드로 미루어 보아 공격자들은 외국의 경쟁자, 회사에 판매하거나 협박용으로 사용할 수 있는 기밀 정보를 찾고 있는 것으로 보입니다.

현재까지는 이 악성코드가 랜섬웨어 공격과 함께 번들로 배포되는지, 아니면 개별적으로 배포되는지는 확인할 수 없었습니다.

랜섬웨어가 데이터를 암호화하기 전 추출하는 사례가 매우 흔히 일어나고 있습니다. 네트워크가 해킹당하지 않도록 적절한 보안조치를 취하는 것이 중요합니다.

악성 첨부파일을 포함하고 있는 피싱 이메일에 주의하고, 원격 데스크톱 서비스에 공개적으로 접근하지 못하도록 하며, 모든 소프트웨어와 OS를 최신 버전으로 업데이트하고 올바른 암호 정책 및 보안 소프트웨어를 사용하여 시스템을 보호하시기 바랍니다.

출처 :

https://www.bleepingcomputer.com/news/security/new-ryuk-info-stealer-targets-government-and-military-secrets/