포스팅 내용

국내외 보안동향

새로운 랜섬웨어 공격자인 OldGremlin, 커스텀 악성코드로 상위 조직 공격

New ransomware actor OldGremlin uses custom malware to hit top orgs

 

새로운 랜섬웨어 그룹이 자체 제작 백도어와 파일 암호화 악성코드를 통해 대규모 기업 네트워크를 공격하고 있는 것으로 나타났습니다. 이 악성코드는 공격의 첫 단계와 마지막 단계에 사용됩니다.

 

연구원들은 코드네임 OldGremlin을 사용하는 이 그룹을 추적하고 있습니다. 이들의 캠페인은 3월 말 시작되었고, 아직까지 전 세계로는 확장되지 않은 것으로 보입니다.

 

이 그룹의 소행으로 보이는 공격은 아직까지 러시아에서만 확인되었습니다. 하지만 전 세계로 진출하기 전 소규모 공격을 통해 그들의 툴과 기술을 미세하게 조정하고 있는 것으로 추측됩니다.

 

커스텀 툴과 창의적인 피싱 공격

 

OldGremlin은 커스텀 백도어(TinyPosh, TinyNode) 및 랜섬웨어(TinyCrypt, decr1pt로도 알려짐)를 사용합니다. 또한 정찰 및 측면 이동을 위한 서드파티 소프트웨어로 Cobalt Strike(커맨드라인 스크린샷), NirSoft Mail PassView(이메일 비밀번호 복구)를 사용합니다.

 

이 그룹은 러시아의 유명 기업(의학 연구소, 은행, 제조사, 소프트웨어 개발사 등)이 아닌 이상 피해자를 딱히 가리지 않습니다. 이로써 이 해킹 그룹의 멤버들은 러시아어를 구사하는 사람들로 이루어져 있음을 추측할 수 있습니다.

 

이 공격자는 초기 접근을 위해 커스텀 툴을 전달하는 스피어피싱 이메일을 통해 공격을 시작합니다. 이들은 발신자 주소에 알려진 이름을 사용해 유명인을 사칭합니다.

 

싱가폴의 사이버 보안 회사인 Group-IB는 한 은행 공격 사례에서 OldGremlin가 인기 경제 신문 기자와의 인터뷰를 준비하는 것으로 가장한 피싱 메일을 보냈습니다.

 

이 가짜 기자는 캘린더 앱을 통해 약속을 잡은 다음 온라인 저장소에서 호스팅되는 인터뷰용 질문으로 연결되는 링크를 제시했습니다. 이 링크를 클릭하면 TinyPosh 백도어를 다운받게 됩니다.

 

임상 검사실을 노린 또 다른 공격에서 OldGremlin은 러시아의 주요 미디어 지주회사인 RBC(RosBiznesConsulting)로 위장해 의료 서비스에 대한 비용 지불에 문제가 생겼다고 주장했습니다.

 

이들은 소셜 엔지니어링 공격에 능통한 것으로 보이며 시사를 활용한 피싱 공격을 통해 피해자들의 신뢰를 이끌어냅니다.

 

예를 들어, 이들은 819일 실행한 공격에서 Minsk Tractor WorksCEO를 가장해 회사가 벨로루시의 반정부 시위에 참여한 혐의로 조사를 받는 중임을 알리고 검찰 제출용 문서를 요구했습니다.

 

<이미지 출처: https://www.group-ib.com/blog/oldgremlin>

 

 

발신자의 주소에 사용된 이름은 해당 공장의 실제 CEO의 이름이 아닙니다. 해당 캠페인에서는 메시지 최소 50개 이상이 전송되었습니다.

 

목표는 C&C 서버에서 다운로드한 추가 모듈을 통해 공격을 확장시키는 백도어 2개 중 하나 (TinyNode 또는 TinyPosh)를 통해 타깃 조직 네트워크에 침입할 수 있는 발판을 마련하는 것입니다. 네트워크상의 다른 시스템으로 이동하기 위해 원격 데스크톱 프로토콜(RDP) 또한 사용합니다.

 

네트워크에서 가치 있는 시스템을 찾아내기 위해 일정 시간을 보낸 후 공격자는 파일 암호화 루틴을 시작합니다.

 

의학 연구소의 경우 공격자는 도메인 관리자 크리덴셜을 얻어 동일한 권한을 가진 다른 계정을 생성했습니다.

 

OldGremlin은 초기 접근 후 몇 주가 지나야 암호화 단계를 시작합니다. 이들은 서버 백업을 모두 삭제하고 기업 네트워크 내 컴퓨터 수백 대를 암호화합니다.

 

공격 후 남겨진 랜섬노트는 가상화폐로 약 $50,000을 요구했으며, 연락을 위한 Proton 이메일 주소를 남겼습니다.

 

Group-IB 20205~ 8월 사이에 OldGremlin이 실행한 공격을 다수 탐지했으며 모두 러시아를 노린 공격이었다고 밝혔습니다.