상세 컨텐츠

본문 제목

Gootkit 악성코드, Sodinokibi 랜섬웨어와 함께 부활해

국내외 보안동향

by 알약4 2020. 12. 1. 09:01

본문

Gootkit malware returns to life alongside REvil ransomware

 

1년 간의 휴가 끝에, Gootkit 정보 탈취 트로이목마가 독일을 노리는 새로운 캠페인과 함께 부활했습니다.

 

Gootkit 트로이목마는 자바스크립트 기반 악성코드로 공격자에게 원격 접속 제공, 키로깅, 영상 녹화, 이메일 탈취, 비밀번호 탈취, 인터넷 뱅킹 자격 증명을 훔치기 위해 악성 스크립트를 주입하는 등 다양한 악성 행위를 수행합니다.

 

지난 해, Gootkit 공격자들은 인터넷에 MongoDB 데이터베이스를 노출해 정보 유출 사고를 겪었습니다. 이 사건 이후 GootKit 공격자들은 이번 달 다시 공격을 시작하기 전 까지 활동을 중단한 것으로 알려져 있습니다.

 

GootKit, 랜섬웨어와의 파트너십 통해 부활

 

지난 주, The Analyst로 알려진 한 보안 연구원은 Bleeping Computer에 독일을 노린 공격에서 Gootkit 악성코드가 다시 발견되었다고 제보했습니다.

 

공격자는 이 새로운 악성 캠페인을 통해 워드프레스 사이트를 해킹하고 SEO 포이즈닝을 통해 방문자에게 가짜 포럼 게시물을 표시합니다. 이 가짜 게시물은 가짜 양식 또는 다운로드로 연결되는 링크를 포함한 질답으로 위장합니다.

 

 

<Gootkit 캠페인에서 발견된 가짜 포럼 게시물>

<이미지 출처: https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revil-ransomware/>

 

 

사용자가 링크를 클릭하면, Gootkit 악성코드나 Sodinokibi 랜섬웨어를 설치하는 난독화된 JS 파일이 포함된 ZIP 파일을 다운로드하게 됩니다.

 

 

<난독화된 JS 스크립트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/gootkit-malware-returns-to-life-alongside-revil-ransomware/>

 

 

이 방법과 동일한 배포 방식은 Gootkit이 활동을 중단했던 시기인 20199월 Sodinokibi가 사용했습니다.

 

Gootkit과 Sodinokibi, 파일리스 공격 통해 설치돼

 

Malwarebyte의 연구원들은 보고서를 통해 해당 악성 JavaScript 페이로드가 파일리스 Gootkit 또는 Sodinokibi 공격을 실행할 것이라 설명했습니다.

 

JavaScript가 실행되면 명령 및 제어 서버(C2)에 연결해 악성코드 페이로드를 포함한 또 다른 스크립트를 다운로드합니다.

 

Malwarebytes의 분석에 따르면, 이 페이로드는 보통 Gootkit이지만 일부 경우 Sodinokibi 랜섬웨어가 나오기도 합니다.

 

이 페이로드는 base64로 암호화되었거나, 텍스트 파일에 16진수 문자열 형태로 저장되어 있거나 아래와 같이 수 많은 윈도우 레지스트리 값으로 분할됩니다.

 

 

<윈도우 레지스트리에 저장된 페이로드>

<이미지 출처: https://blog.malwarebytes.com/threat-analysis/2020/11/german-users-targeted-with-gootkit-banker-or-revil-ransomware/>

 

 

이 로더는 결국 레지스트리 또는 텍스트파일의 페이로드를 읽고 디코딩한 다음 파일 없이 메모리에서 직접 프로세스를 시작합니다.

 

난독화된 페이로드를 사용하고 레지스트리에 조각으로 분리해 저장할 경우 보안 소프트웨어가 악성 페이로드를 탐지하기 어려워집니다.

 

The Analyst는 이 악성 캠페인을 테스트하던 중 흥미로운 사실을 발견했습니다. Sodinokibi가 이전 공격에 사용된 랜섬노트를 드롭한다는 것입니다.