상세 컨텐츠

본문 제목

Hello XD 랜섬웨어, 암호화 중 백도어 드롭해

국내외 보안동향

by 알약4 2022. 6. 13. 09:00

본문

Hello XD ransomware now drops a backdoor while encrypting

 

사이버 보안 연구원들이 더 강력한 암호화로 업그레이드된 샘플을 배포하는 Hello XD 랜섬웨어의 활동이 증가했다고 밝혔습니다.

 

2021 11월 처음 발견된 이 랜섬웨어 패밀리는 유출된 Babuk의 소스코드를 기반으로 하며, 공격자가 기기를 암호화하기 전에 기업의 데이터를 훔칩니다.

 

Palo Alto Networks Unit 42에서 발표한 새로운 보고서에 따르면, 악성코드 제작자는 탐지 회피 및 암호화 알고리즘 변경을 위한 맞춤형 패킹이 특징인 새로운 암호화기를 만들었습니다.

 

이는 Babuk의 코드와는 크게 다르며, 제작자가 공격을 증가시키기 위해 고유한 기능을 갖춘 새로운 랜섬웨어 변종을 개발하려는 것을 알 수 있습니다.

 

Hello XD 랜섬웨어 작업

 

Hello XD 랜섬웨어는 Tor 결제 사이트 대신 TOX 채팅 서비스를 통해 피해자에게 직접 협상을 할 것을 요구합니다.

 

운영자는 랜섬웨어의 최신 버전이 드롭한 랜섬노트에 onion 사이트 링크를 추가했지만, Unit 42는 해당 사이트가 오프라인이기 때문에 아직까지 제작 중일 수 있다고 밝혔습니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/helloxd-ransomware/>

<Hello XD 랜섬노트 (왼쪽: 이전, 오른쪽: 최신)>

 

 

Hello XD가 실행되면 시스템 복구를 방지하기 위해 섀도 복사본을 비활성화한 다음 파일을 암호화한 후 파일 이름에 .hello 확장자를 추가합니다.

 

Unit 42는 운영자가 랜섬웨어 페이로드 이외에도 MicroBackdoor라는 오픈 소스 백도어를 사용하여 해킹된 시스템을 탐색하고, 파일을 추출하고, 명령을 실행하고, 흔적을 삭제하는 것을 관찰했습니다.

 

MicroBackdoor 실행 파일은 WinCrypt API를 사용하여 암호화되고 랜섬웨어 페이로드에 포함되므로 감염 즉시 시스템에 드롭됩니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/helloxd-ransomware/>

<Microbackdoor 복호화 및 드롭>

 

 

암호화기 및 암호화

 

이 랜섬웨어 페이로드의 두 번째 버전에 사용된 맞춤형 패커는 두 가지 난독화 계층을 사용합니다.

 

제작자는 과거 수많은 악성코드 작성자가 사용한 오픈소스 패커인 UPX를 수정하여 암호화기를 만들었습니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/helloxd-ransomware/>

<UPX 패킹(오른쪽)과 커스텀 패킹(왼쪽)>

 

 

Hello XD의 두 번째 버전에서 가장 흥미로운 점은 암호화 알고리즘을 수정된 HC-128 Curve25519-Donna에서 Rabbit Cipher Curve25519-Donna로 변경한 것입니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/helloxd-ransomware/>

<Babuk 암호화(왼쪽) HelloXD 2.0 암호화(오른쪽)>

 

 

또한 두 번째 버전의 파일 마커는 일관된 문자열에서 임의 바이트로 변경되어 암호화 결과가 더욱 강력해졌습니다.

 

Hello XD는 현재 실제 공격에서 투입된 위험한 초기 단계의 랜섬웨어 프로젝트입니다. 아직까지 감염 규모는 크지 않지만 매우 적극적이며 타깃화된 개발은 더욱 위험해 질 수 있습니다.

 

Unit 42가 공격자를 러시아어를 사용하는 X4KME로 추적했습니다. 이들은 Cobalt Strike 비컨과 악성 인프라를 온라인에 배포하는 튜토리얼을 업로드한 적이 있습니다.

 

 

<이미지 출처 : https://unit42.paloaltonetworks.com/helloxd-ransomware/>

<X4KME의 샘플>

 

  

또한 동일한 해커가 PoC 익스플로잇, 암호화 서비스, 커스텀 Kali Linux 배포판, 악성코드 호스팅 및 배포 서비스를 제공하기 위해 포럼에 게시한 적이 있습니다.

 

공격자는 관련 지식이 풍부하고 Hello XD를 충분히 발전시킬 수 있는 것으로 보이기 때문에 추후 면밀한 모니터링이 필요할 것입니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hello-xd-ransomware-now-drops-a-backdoor-while-encrypting/

https://unit42.paloaltonetworks.com/helloxd-ransomware/ (IOC)

관련글 더보기

댓글 영역