ºÎÀûÀýÇÑ °èÁ¤Á¤º¸ »ç¿ëÇÏ´Â ½Ã½ºÅÛÀº °èÁ¤Á¤º¸ ½±°Ô »©¾Ñ±æ ¼ö ÀÖ¾î
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ¸ÞµÎ»ç¶ôÄ¿(MedusaLocker)¶ó´Â °ø°ÝÀÚµéÀÌ À¯Æ÷ÇÏ°í ÀÖ´Â ±Û·ÎºêÀÓÆ÷½ºÅÍ(GlobeImposter) ·£¼¶¿þ¾î°¡ ´«¿¡ ¶ç°Ô Áõ°¡ÇÏ°í ÀÖ´Ù. ±¸Ã¼ÀûÀÎ °æ·Î´Â È®ÀεÇÁö ¾Ê¾ÒÁö¸¸ °¨¿° ·Î±×¿¡¼ È®ÀεǴ ´Ù¾çÇÑ ±Ù°ÅµéÀ» ÅëÇØ °ø°ÝÀÌ RDP(Remote Desktop Protocol, ¿ø°Ý µ¥½ºÅ©Åé ÇÁ·ÎÅäÄÝ)¸¦ ÅëÇØ À¯Æ÷µÇ°í ÀÖ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
[À̹ÌÁö=utoimage]
¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é, °ø°ÝÀÚ´Â GlobeImposter ¿Ü¿¡µµ Æ÷Æ® ½ºÄ³³Ê, ¹Ì¹ÌÄ«Ã÷¿Í °°Àº ´Ù¾çÇÑ µµ±¸µéÀ» ¼³Ä¡Çߴµ¥, À̸¦ ÅëÇØ ±â¾÷ ³»ºÎ¸ÁÀ¸·Î È®À뵃 °æ¿ì¿¡´Â ³»ºÎ ³×Æ®¿öÅ©µµ °ø°Ý ´ë»óÀÌ µÉ °ÍÀ¸·Î º¸ÀδÙ.
¿ø°Ý µ¥½ºÅ©Åé ¼ºñ½º(RDP)¸¦ °ø°Ý º¤ÅÍ·Î ÀÌ¿ëÇÏ´Â °ø°ÝÀÚµéÀº ÀϹÝÀûÀ¸·Î ¿ÜºÎ¿¡¼ Á¢±Ù °¡´ÉÇÑ ½Ã½ºÅÛÀ» ´ë»óÀ¸·Î RDP°¡ È°¼ºÈµÅ ÀÖ´Â ½Ã½ºÅÛµéÀ» ½ºÄ³´×ÇÑ´Ù. ½ºÄ³´× °úÁ¤¿¡¼ ãÀº ½Ã½ºÅ۵鿡 ´ëÇؼ´Â ¹«Â÷º° ´ëÀÔ °ø°ÝÀ̳ª »çÀü °ø°ÝÀ» ¼öÇàÇÑ´Ù. ¸¸¾à »ç¿ëÀÚ°¡ ºÎÀûÀýÇÑ °èÁ¤Á¤º¸¸¦ »ç¿ëÇÏ°í ÀÖÀ» °æ¿ì °ø°ÝÀÚ´Â ½±°Ô °èÁ¤ Á¤º¸¸¦ ȹµæÇÒ ¼ö ÀÖ´Ù.
°ø°ÝÀÚ°¡ ȹµæÇÑ °èÁ¤Á¤º¸·Î ¿ø°Ý µ¥½ºÅ©ÅéÀ» ÀÌ¿ëÇØ ½Ã½ºÅÛ¿¡ ·Î±×ÀÎÇÒ °æ¿ì ÇØ´ç ½Ã½ºÅÛ¿¡ ´ëÇÑ Á¦¾î ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖÀ¸¸ç, ±× ÀÌÈÄ ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù. GlobeImposter¸¦ ¼³Ä¡ÇÑ °ø°ÝÀڵ鵵 RDP¸¦ °ø°Ý º¤ÅÍ·Î »ç¿ëÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ÀÌ¿¡ ´ëÇÑ ±Ù°Å´Â ¡âŽ»ö±â ÇÁ·Î¼¼½º(explorer.exe)¿¡ ÀÇÇÑ ¾Ç¼ºÄÚµå »ý¼º ¡âRDP °ü·Ã ¼³Á¤ ¹× ·Î±× »èÁ¦ ¡âRDP¸¦ °ø°Ý º¤ÅÍ·Î »ç¿ëÇÏ´Â MedusaLocker ·£¼¶¿þ¾î °ø°ÝÀÚ¿ÍÀÇ ¿¬°ü¼º µîÀ¸·Î ÃßÁ¤ÇÒ ¼ö ÀÖ´Ù.
°ø°ÝÀÚ´Â ÁÖ·Î ¡®À½¾Ç¡¯ Æú´õ ³»¿¡ ¡®skynet work¡¯¶ó´Â Æú´õ¸¦ »ý¼ºÇÑ ÈÄ ÇØ´ç °æ·Î¿¡ ¾Ç¼ºÄÚµåµéÀ» ¼³Ä¡ÇÑ´Ù. ÇØ´ç ·£¼¶¿þ¾î °ø°ÝÀº Áö³ÇغÎÅÍ ²ÙÁØÈ÷ ÀÌ·ïÁö°í ÀÖÀ¸¸ç ÃÖ±Ù±îÁöµµ °°Àº °æ·Î¸¦ »ç¿ëÇÏ°í ÀÖ´Ù. ´ÙÀ½Àº °ú°Å µ¿ÀÏÇÑ °ø°ÝÀÚÀÇ °ø°Ý »ç·Ê¿¡¼ È®ÀÎµÈ ·Î±×·Î¼ Ž»ö±â ÇÁ·Î¼¼½º Áï, explorer.exe°¡ ¾Ç¼ºÄڵ带 »ý¼ºÇÏ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ÇàÀ§´Â RDP¸¦ ÅëÇØ ¿¬°áÇÑ ½Ã½ºÅÛ¿¡ ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÒ ¶§¿Í °°±â ¶§¹®¿¡ RDP°¡ °ø°Ý º¤ÅÍ·Î »ç¿ëµÆ´Ù´Â ÃßÁ¤ÀÇ ±Ù°Å¶ó°í ÇÒ ¼ö ÀÖ´Ù.
¡ãGlobeImposter ¾Ç¼ºÄÚµå ¼³Ä¡ ·Î±×[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
GlobeImposter ·£¼¶¿þ¾î °ø°ÝÀº MedusaLocker °ø°ÝÀÚ¿ÍÀÇ ¿¬°ü¼ºµµ Á¸ÀçÇÑ´Ù. ÃÖ±Ù ¹Ì±¹ÀÇ º¸°Çº¹ÁöºÎ¿¡¼´Â MedusaLocker ·£¼¶¿þ¾î °ø°ÝÀÚµéÀÌ RDP¸¦ ÀÌ¿ëÇØ ·£¼¶¿þ¾î¸¦ °¨¿°½ÃÅ°°í ÀÖ´Ù´Â º¸°í¼¸¦ ¹ßÇ¥Çß´Ù. MedusaLocker °ø°Ý ±×·ìÀº °ú°ÅºÎÅÍ RDP¸¦ °ø°Ý º¤ÅÍ·Î »ç¿ëÇÏ°í ÀÖÀ¸¸ç, ¹Ì±¹ »çÀ̹öº¸¾È ¹× ÀÎÇÁ¶ó º¸¾È±¹(Cybersecurity and Infrastructure Security Agency, CISA)¿¡¼µµ °ü·Ã Á¤º¸¸¦ °ø°³Çß´Ù.
Áß¿äÇÑ Á¡Àº ÃÖ±Ù °ø°Ý¿¡ »ç¿ëµÇ°í ÀÖ´Â GlobeImposter ·£¼¶¿þ¾îÀÇ ·£¼¶³ëÆ®¿¡¼ È®ÀεǴ À̸ÞÀÏ ÁÖ¼Ò¿Í onion ÁÖ¼Ò°¡ °ú°Å CISA¿¡¼ °ø°³ÇÑ MedusaLocker °ø°Ý ±×·ìÀÌ »ç¿ëÇÏ´Â ¸ñ·Ï¿¡ Æ÷ÇԵȴٴ Á¡ÀÌ´Ù.
¡ã·£¼¶³ëÆ®¿¡ ¸í½ÃµÈ ¸ÞÀÏ ÁÖ¼Ò[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
±×¸®°í ´Ù¼öÀÇ ·Î±×µéÀ» Á¶»çÇÏ´ø Áß ¸î¸î ·£¼¶¿þ¾î °ø°Ý »ç·Ê¿¡¼ GlobeImposter¿Í MedusaLocker°¡ ÇÔ²² »ç¿ëµÈ »ç·Êµµ È®ÀεƴÙ. Áï, MedusaLocker ·£¼¶¿þ¾î °ø°ÝÀÚµéÀº RDP¸¦ ÁÖ¿ä °ø°Ý º¤ÅÍ·Î »ç¿ëÇØ ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ½Ã½ºÅÛµéÀ» ´ë»óÀ¸·Î °ø°ÝÀ» ¼öÇàÇÏ°í ÀÖÀ¸¸ç, ÃÖ±Ù¿¡´Â °ø°Ý¿¡ MedusaLocker ´ë½Å GlobeImposter ·£¼¶¿þ¾î¸¦ ÁÖ·Î »ç¿ëÇÏ°í ÀÖ´Ù´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
°ø°ÝÀÚ´Â ´Ù¾çÇÑ ¾Ç¼ºÄÚµåµéÀ» °¨¿° ½Ã½ºÅÛ¿¡ ¼³Ä¡ÇÑ´Ù. ¼³Ä¡µÇ´Â µµ±¸µéÀº ÁÖ·Î ½ºÄ³³Ê ¹× °èÁ¤Á¤º¸ Å»Ãë µµ±¸µéÀÌ´Ù. À̸¦ ÅëÇØ °¨¿° ½Ã½ºÅÛ ¿Ü¿¡ ÇØ´ç ½Ã½ºÅÛÀÌ Æ÷ÇÔµÈ ³×Æ®¿öÅ©µµ °ø°Ý ´ë»óÀÌ µÉ ¼ö ÀÖ´Ù´Â Á¡À» ÃßÁ¤ÇÒ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ¾Ç¼ºÄÚµåµéÀº ¡âadvanced_port_scanner.exe, advanced_port_scanner_2.5.3869.exe : Æ÷Æ® ½ºÄ³³Ê ¡â¡®kamikadze new¡¯ Æú´õ ³»ÀÇ ÆÄÀϵé : ¹Ì¹ÌÄ«Ã÷ ¡ânetpass (1).exe : NirSoft »çÀÇ Network Password Recovery µµ±¸ ¡ânetworkshare_pre2.exe : °øÀ¯ Æú´õ ½ºÄ³³Ê µîÀÇ Ãß°¡ ¼³Ä¡ ÆÄÀϵµ ¹ß°ßµÆ´Ù.
°ø°ÝÀÚ´Â RDP·Î ½Ã½ºÅÛÀ» Àå¾ÇÇÑ ÀÌÈÄ À§ÀÇ µµ±¸µéÀ» ÀÌ¿ëÇØ ³×Æ®¿öÅ©¸¦ ½ºÄ³´×ÇØ °¨¿° ½Ã½ºÅÛÀÌ Æ¯Á¤ ³×Æ®¿öÅ©¿¡ Æ÷ÇԵƴÂÁö¸¦ È®ÀÎÇÏ´Â °ÍÀ¸·Î º¸ÀδÙ. ¸¸¾à ƯÁ¤ ³×Æ®¿öÅ©¿¡ Æ÷ÇÔµÈ °æ¿ì¿¡´Â ÇØ´ç ³×Æ®¿öÅ©¿¡ Á¸ÀçÇÏ´Â ´Ù¸¥ ½Ã½ºÅ۵鵵 ¾ÏÈ£ÈÇϱâ À§ÇØ ³»ºÎ Á¤Âû ¹× °èÁ¤ Á¤º¸ ±×¸®°í Ãø¸é À̵¿ °úÁ¤À» ÁøÇàÇÒ ¼ö ÀÖ´Ù.
¡ã°ø°Ý¿¡ »ç¿ëµÈ ¹Ì¹ÌÄ«Ã÷ ¸í·É[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
°ø°ÝÀÚ´Â ·£¼¶¿þ¾î ¿Ü¿¡ XMRig ÄÚÀÎ ¸¶À̳ÊÀÎ Miners.exeµµ ÇÔ²² ¼³Ä¡ÇÏ´Â °æ¿ì°¡ ÀÖ´Ù. Áï, MedusaLocker °ø°ÝÀÚµéÀº ·£¼¶¿þ¾îµéÀ» ÀÌ¿ëÇØ °¨¿° ½Ã½ºÅÛÀ» ¾ÏȣȽÃÅ°±âµµ ÇÏÁö¸¸ XMRig¸¦ ¼³Ä¡ÇØ ÄÚÀÎÀ» ä±¼Çϱ⵵ ÇÑ´Ù.
¡®Skynet work¡¯ Æú´õ ³»ÀÇ ols.exe ÆÄÀÏÀº GlobeImposter ·£¼¶¿þ¾î´Ù. GlobeImposter´Â ÆÄÀÏ ¾Ïȣȿ¡´Â AES ´ëĪŰ ¾Ë°í¸®ÁòÀ», ¾Ïȣȿ¡ »ç¿ëµÈ Å°´Â RSA °ø°³Å°¡¤°³ÀÎÅ° ¾Ë°í¸®ÁòÀ» »ç¿ëÇÏ´Â ·£¼¶¿þ¾î´Ù. GlobeImposterÀÇ ÁÖ¿ä Ư¡À¸·Î´Â ¡â¾ÏÈ£È ¹æ½ÄÀº ¡®AES / RSA-1024¡¯ ¡âÈ®ÀåÀÚ´Â ¡®.onelock¡¯ ¡â·£¼¶³ëÆ®´Â ¡®how_to_back_files.html¡¯ ¡âRunOnce Å° µî·Ï ¡âº¼·ý ½¦µµ ¼ºñ½º Á¦°Å ¡âÀ̺¥Æ® ·Î±× »èÁ¦ ¡âRDP ·Î±× »èÁ¦ µîÀÇ Æ¯Â¡ÀÌ ÀÖ´Ù.
¡ãAES ¾Ë°í¸®ÁòÀ¸·Î º¹È£ÈµÈ °ø°ÝÀÚÀÇ RSA °ø°³Å°[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
GlobeImposter´Â ½ÇÇà ½Ã »õ·Î¿î RSA-1024 °ø°³Å°¡¤°³ÀÎÅ° ½ÖÀ» »ý¼ºÇÑ ÈÄ, RSA °ø°³Å°¸¦ ÀÌ¿ëÇØ ÆÄÀÏ ¾Ïȣȿ¡ »ç¿ëµÇ´Â AES Å°¸¦ ¾ÏÈ£ÈÇÑ´Ù. »ý¼ºµÈ RSA °³ÀÎÅ°´Â °ø°ÝÀÚÀÇ RSA °ø°³Å°·Î ¾ÏÈ£ÈÇϴµ¥, ÇØ´ç Å°´Â ¹ÙÀ̳ʸ®¿¡ ¾ÏȣȵŠÁ¸ÀçÇÑ´Ù. RSA °ø°³Å°´Â ´ÙÀ½°ú °°ÀÌ ÇϵåÄÚµùµÈ AES Å°·Î º¹È£ÈÇÒ ¼ö ÀÖ´Ù.
¡ãº¼·ý ¼¨µµ º¹»çº» ¹× ·Î±×¸¦ Á¦°ÅÇÏ´Â Batch ÆÄÀÏ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
GlobeImposter´Â Áö¼Ó¼º À¯Áö¸¦ À§ÇØ ¸ÕÀú ÀÚ½ÅÀ» %LOCALAPPDATA% °æ·Î¿¡ º¹»çÇÑ ÈÄ RunOnce Å°¿¡ µî·ÏÇØ ÀçºÎÆà ÀÌÈÄ µ¿ÀÛÇÒ ¼ö ÀÖµµ·Ï ¼³Á¤ÇÑ´Ù. ±×¸®°í °ø°ÝÀÚÀÇ °³ÀÎÅ°¿¡ ´ëÇÑ SHA256 ÇؽðªÀ» À̸§À¸·Î ÇÏ´Â ÆÄÀÏÀ» %PUBLIC% °æ·Î¿¡ »ý¼ºÇÑ ÈÄ Å° Á¤º¸¸¦ ¾ÏÈ£ÈÇØ ÀúÀåÇÑ´Ù.
±× ÀÌÈÄ ½Ã½ºÅÛ ³»ÀÇ ÆÄÀϵéÀ» ¾ÏÈ£ÈÇϴµ¥, ¾ÏÈ£È Á¦¿Ü ´ë»óÀÇ °æ·Î¿Í È®ÀåÀÚ ¸ñ·Ï °°Àº ¼³Á¤ µ¥ÀÌÅ͵éÀº AES Å°·Î ¾ÏȣȵŠÀÖ´Ù. Âü°í·Î ¼³Á¤ µ¥ÀÌÅ͸¦ º¹È£ÈÇϴµ¥ »ç¿ëµÇ´Â AES Å°´Â ¾Õ¼ ¾ð±ÞÇÑ Å°¿Í µ¿ÀÏÇÏ°Ô °ø°ÝÀÚÀÇ °³ÀÎÅ°¿¡ ´ëÇÑ SHA256 ÇؽðªÀÌ´Ù.
¡ãGlobeImposter ·£¼¶¿þ¾î°¡ ³²±ä ·£¼¶³ëÆ®[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÆÄÀÏ ¾ÏÈ£È °úÁ¤ÀÌ ¿Ï·áµÇ¸é Batch ÆÄÀÏÀ» »ý¼ºÇØ ½ÇÇàÇÑ´Ù. Batch ÆÄÀÏÀº º¼·ý ¼¨µµ º¹»çº»°ú ·Î±×¸¦ »èÁ¦ÇÏ´Â ±â´ÉÀ» ´ã´çÇÑ´Ù. »èÁ¦µÇ´Â ·Î±×¿¡´Â À̺¥Æ® ·Î±×¿Í RDP °ü·Ã ·Î±×°¡ ÀÖ´Ù. À̸¦ ÅëÇØ ·£¼¶¿þ¾î °ø°ÝÀº RDP¸¦ ÅëÇØ ÀÌ·ç¾îÁö¸ç °ø°ÝÀÚ°¡ ÀÚ½ÅÀÇ Á¢¼Ó ±â·ÏÀ» Á¦°ÅÇϱâ À§ÇÑ ¸ñÀûÀ¸·Î ·£¼¶¿þ¾î¿¡ ÀÌ·¯ÇÑ ±â´ÉÀ» Ãß°¡ÇÑ °ÍÀ¸·Î º¸ÀδÙ.
·£¼¶³ëÆ®´Â °¨¿°ÀÌ ÀÌ·ç¾îÁø Æú´õ¿¡ ¡®how_to_back_files.html¡¯¶ó´Â À̸§À¸·Î »ý¼ºµÈ´Ù. ·£¼¶³ëÆ® ¶ÇÇÑ ±âÁ¸¿¡ ¾Ë·ÁÁø GlobeImposterÀÇ ·£¼¶³ëÆ®¿Í ´Ù¸£¸ç, °ú°Å Carbon Black¿¡¼ °ø°³ÇÑ º¸°í¼¿¡¼ È®ÀÎµÈ MedusaLockerÀÇ ·£¼¶³ëÆ®¿Í µ¿ÀÏÇÑ °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
°ø°ÝÀÚµéÀº °ú°ÅºÎÅÍ ²ÙÁØÈ÷ Ãʱâ ħÅõ °úÁ¤ ¹× Ãø¸é À̵¿ °úÁ¤¿¡¼ RDP¸¦ »ç¿ëÇÏ°í ÀÖ´Ù. ÀÌ·¯ÇÑ °ø°ÝÀº ÁÖ·Î ºÎÀûÀýÇÑ °èÁ¤Á¤º¸¸¦ °®°í ÀÖ´Â ½Ã½ºÅ۵鿡 ´ëÇÑ ¹«Â÷º° ´ëÀÔ °ø°Ý ¹× »çÀü °ø°ÝÀ» ÅëÇØ ÀÌ·ç¾îÁø´Ù. ƯÈ÷, MedusaLocker °ø°ÝÀÚµé ¿Ü¿¡µµ ¸¹Àº ¼öÀÇ ·£¼¶¿þ¾î °ø°ÝÀÚµéÀÌ RDP¸¦ ´ëÇ¥ÀûÀÎ Ãʱ⠰ø°Ý º¤ÅÍ·Î½á »ç¿ëÇÏ°í ÀÖ´Ù.
¾È·¦ ASEC ºÐ¼®ÆÀ ÃøÀº ¡°»ç¿ëÀÚµéÀº RDP¸¦ »ç¿ëÇÏÁö ¾ÊÀ» °æ¿ì ºñÈ°¼ºÈÇØ °ø°Ý ½Ãµµ¸¦ ÁÙÀÏ ¼ö ÀÖ´Ù¡±¸ç ¡°¸¸¾à RDP ¼ºñ½º¸¦ »ç¿ëÇÏ°í ÀÖ´Ù¸é °èÁ¤ÀÇ ºñ¹Ð¹øÈ£¸¦ º¹ÀâÇÑ ÇüÅ·Π»ç¿ëÇÏ°í ÁÖ±âÀûÀ¸·Î º¯°æÇØ ¹«Â÷º° ´ëÀÔ °ø°Ý ¹× »çÀü °ø°ÝÀ» ¹æÁöÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°V3 ¶Ç´Â ¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ ¾Ç¼ºÄÚµå °¨¿°À» »çÀü¿¡ Â÷´ÜÇÒ ¼ö ÀÖµµ·Ï ½Å°æ½á¾ß ÇÑ´Ù¡±°í µ¡ºÙ¿´´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>