Google Docs를 C&C 서버로 이용하는 cuteRansomware

Google Docs를 C&C 서버로 이용하는 cuteRansomware

cuteRansomware Uses Google Docs to Fly Under Radar

최근 새로운 랜섬웨어인 cuteRansomware가 발견되었습니다. 이 랜섬웨어는 Google Docs에 감염자 정보를 저장합니다. 이 랜섬웨어는 또 다른 랜섬웨어 프로젝트로 부터 파생되었으며, 그 랜섬웨어 프로젝트의 소스코드는 몇개월 전 GitHub에 공개되었습니다. 

그 프로젝트의 이름은 my-Little-Ransomware으로, 'C#을 기반으로한 쉬운 랜섬웨어 모듈'이라고 묘사했습니다. 작성자는 중국인 개발자 mashenghao로 밝혀졌습니다. 이 소스코드는 곧 악의적인 의도를 가진 누군가에게 이용되었습니다.

이 랜섬웨어는 6월 중순경 AVG의 Jakub Krousteck가 처음 발견했으며, 그는 해당 랜섬웨어가 Google Docs에 비밀키를 저장하는 새로운 랜섬웨어라고 말했습니다.

얼마 후 Netskope는 my-Little-Ransomware의 소스를 기반으로 만들어진 또 다른 종류의 랜섬웨어를 발견했으며, 이 랜섬웨어의 이름을 cuteRansomware로 명명하였습니다.

<이미지 출처 : https://twitter.com/JakubKroustek/status/743533627762421760>

이 랜섬웨어의 모든 내용은 중국어로 되어있는 것으로 확인되었으며, 이는 중국인만을 타겟으로 하고 있다는 것을 뜻합니다. cuteRansomware는 Google Docs를 C&C 서버로 사용하여 사용자 PC를 감염시킨 후에 RSA 비밀키를 만들고, HTTPS 통신으로 비밀키를 Google Docs에 업로드합니다. 

cute랜섬웨어의 암호화 대상 문서는 .bmp、.png、 .jpg、.zip、.txt、.pdf、.pptx、 .docx、.py、.cpp、 .pcap、.enc、 .pem 및 .csr로 비교적 적은 편이며, 암호화 후에는 확장자를 .encrypted로 바꿉니다. 특이한 점은 아래 캡쳐 이미지 중 빨간색 네모박스 부분의 정보를 Google Docs로 전송합니다. 

<이미지 출처 : https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar>

분석 결과, 이 랜섬웨어는 cuteRansomware라는 이름의 mutex를 생성한 후 암호화를 진행합니다. 그리고 %TEMP% 목록 하위에 텍스트 파일을 저장합니다. 이는 사용자에게 랜섬웨어를 요구하는 팝업창을 띄우는 목적으로 사용됩니다. 사용자 파일을 암호화 한 후에는 비밀키를 해커의 서버에 전송합니다. 다음 이미지는 감염PC와 Google Docs 사이에 발생하는 SSL/TLS 통신을 분석한 것입니다. 

<이미지 출처 : https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar>

Fiddler 프록시 툴을 이용하여, 악성 프로그램이 Google Docs에 전송하는 정보들을 더 자세히 확인해 보았습니다. 

<이미지 출처 : https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar>

최근 이러한 클라우드 서비스를 C&C서버로 악용하는 공격이 점차 증가하는 것이 확인되었으며, 이에 클라우드 보안의 중요성을 다시한번 되돌아보는 계기가 되어야 겟습니다. 

출처 : 

https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar