윈도우와 리눅스 시스템을 노리는 새로운 Tycoon 랜섬웨어 발견

New Tycoon ransomware targets both Windows and Linux systems

2019년 12월부터 시작된 소프트웨어 및 교육 업계 중소기업을 노리는 타깃 공격을 통해 새로운 ‘인간 개입’ 랜섬웨어 변종이 확산되고 있는 것으로 나타났습니다.

BlackBerry와 KPMG의 보안 연구원들이 Tycoon이라 명명한 이 랜섬웨어는 다중 플랫폼 자바 기반 악성코드로 윈도우 및 리눅스 기기를 모두 암호화하는 것이 가능합니다.

Tycoon은 운영자가 인터넷에 노출된 취약한 RDP 서버를 통해 피해자의 네트워크에 침투한 후 “트로이화된 JRE(Java Runtime Environment) 빌드를 포함하고 있는 ZIP 압축파일”의 형태로 직접 배포합니다.

Tycoon은 지난 6개월 동안 발생한 실제 공격에서 발견되었지만, 고도로 타깃화된 공격을 통해 매우 적은 수의 피해자들만 노린 것으로 보입니다.

일부 이메일 주소와 랜섬노트 내 메시지, 암호화된 파일에 사용된 네이밍 규칙을 살펴본 결과 Tycoon과 Dharma/CrySIS 랜섬웨어와의 많은 접점이 발견되었습니다.

시스템에 백도어를 설치하고 백신 프로그램 비활성화해

연구원들은 2020년 4월 발생한 랜섬웨어 공격을 분석하던 중 이 악성코드를 발견했습니다.

이 랜섬웨어는 조직을 노린 타깃 공격을 통해 배포되었습니다. 도메인 컨트롤러와 파일 서버에 공격을 받아 시스템 관리자는 시스템에 접근할 수 없었습니다.

감염된 시스템에 대한 포렌식 조사를 진행한 결과, 인터넷에 노출된 RDP 점프 서버를 통해 침입이 발생한 것으로 보입니다.

 

<공격 타임라인>

<이미지 출처: https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors>

공격자가 RDP 서버를 악용한 후 어떤 행동을 했는지는 알아낼 수 없었습니다. 하지만 암호화된 기기를 확인해본 결과 아래 사항을 발견할 수 있었습니다.

- 지속성을 얻고 마이크로소프트 윈도우 온스크린 키보드(OSK) 기능에 백도어를 설치하기 위해 이미지 파일 실행 옵션(IFEO) 인젝션 사용

- 감염된 서버에 접근할 수 없도록 활성 디렉터리 패스워드 변경

- ProcessHacker를 통해 백신 프로그램 비활성화

- 최종 단계를 위해 모든 준비가 완료된 후 Java 랜섬웨어 모듈을 배포하여 모든 파일 서버와 네트워크를 암호화

이 랜섬웨어는 셸 스크립트를 사용하여 커스텀 악성 JRE 빌드를 생성하기 위해 Java JIMAGE 포맷을 사용합니다.

이 악성 JRE 빌드는 윈도우 배치파일과 리눅스 셸을 모두 포함하고 있기 때문에 연구원들은 Tycoon 운영자가 리눅스 서버를 암호화하는데도 이 랜섬웨어를 사용할 수 있을 것이라 밝혔습니다.

 

<Tycoon이 실행하는 셸 스크립트>

<이미지 출처: https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors>

Tycoon의 새로운 버전으로 암호화된 파일에 대한 복호화 툴은 없어

Tycoon 랜섬웨어는 데이터의 무결성을 보장하는 16바이트 길이 GCM 인증 태그를 포함한 Galois/Counter(GCM) mode3의 AES-256 알고리즘을 통해 피해자의 파일을 암호화합니다.

비대칭 RSA 알고리즘을 사용하여 안전하게 생성된 AES 키를 암호화하기 때문에, 파일을 해독하기 위해서는 공격자의 개인 RSA 키가 필요합니다.

이론적으로는 가능하지만, 아직까지 1024-bit RSA 키 팩터링에 성공할 수는 없었습니다. 더욱 특별한 계산 능력이 필요할 것으로 추측됩니다.

 

<Tycoon 랜섬웨어의 랜섬노트>

<이미지 출처: https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors>

연구원들은 피해자 중 한 명이 구입한 복호화 툴을 통해 공격자의 개인 RSA 키를 얻어 암호화된 후 .redrum 확장자가 추가된 파일을 복호화할 수 있었습니다.(무료 복호화 툴) 

하지만 아직까지 .grinch .thanos 확장자를 사용하는 새로운 Tycoon 버전으로 암호화된 파일을 복호화하는 것은 불가능합니다.

Tycoon에 대한 더욱 자세한 정보는 Blackberry/KPMG의 보고서에서 확인하실 수 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-tycoon-ransomware-targets-both-windows-and-linux-systems/

https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors