돌아온 제펄린 랜섬웨어, 새로운 다운로더 통해 퍼져나가

작년 초 등장해 유럽과 미국에서 기승을 떨쳤던 랜섬웨어...최근 부활한 듯
언어와 IP주소 확인해 러시아 등지 지역은 공격하지 않아...최초 등장도 러시아 포럼

[보안뉴스 문가용 기자] 제펄린(Zeppelin) 랜섬웨어가 돌아왔다. 보안 업체 주니퍼(Juniper)에 의하면 돌아온 제펄린이 눈에 띄기 시작한 건 8월부터라고 한다. 2019년 왕성히 활동했을 때와 다른 점은 트로이목마형 다운로더가 활용되고 있다는 것일 뿐, 악성 MS 워드 문서가 첨부된 피싱 이메일로부터 공격이 시작된다는 건 마찬가지다. 그 피싱 메일이 ‘인보이스’를 주제로 하고 있다는 것도 동일하다.

[이미지 = utoimage]

최근 캠페인을 통해 제펄린 운영자들은 각종 비주얼 베이직 스크립트들의 스니펫들을 아무 의미 없는 텍스트 더미 속에 감추었다. 그리고 그 텍스트 더미들을 각종 이미지들 뒤에 배치시켰다. 이런 요소들을 담아 악성 MS 워드 문서를 만들었고, 피해자가 이 문서를 실행시키면 첫 번째 악성 매크로가 발동돼 이미지 뒤에 감춰진 비주얼 베이직 스크립트들이 실행되도록 했다. 또한 이 스크립트는 c:\wordpress\about1.vbs에 기록된다.

그 다음 두 번째 매크로가 발동된다. 이 매크로는 문서 내에서 winmgmts:Win32_Process라는 문자열을 검색하고, 이를 활용해 about1.vbs를 디스크에서부터 실행시킨다. 이 about1.vbs가 바로 위에 언급한 새 다운로더다. 이 스크립트 파일이 종국에는 제펄린 랜섬웨어를 다운로드하고 실행한다.

랜섬웨어의 바이너리는 약 26초 동안 슬립 모드에 들어간다. 자동화 샌드박스에서의 분석이 끝나기를 기다리는 것이라고 주니퍼는 분석한다. 분석 보고서를 통해 주니퍼는 “지난 버전과 마찬가지로 제펄린은 컴퓨터의 언어 환경과 위치 정보를 분석하고 공격을 시작한다”며 “러시아, 벨로루시, 카자크스탄, 우크라이나에 있는 시스템들은 공격하지 않는다”고 짚었다.

보안 전문가 비탈리 크레메즈(Vitali Kremez)가 이전 제펄린에 대해 분석한 내용에 의하면, 제펄린은 ‘서비스형 랜섬웨어’ 형태로 배포되고 있다고 한다. 랜섬웨어 개발자들이 제펄린의 사용 권한을 대여하면, 그걸 대여 받은 공격자들이 랜섬웨어로부터 얻어낸 수익을 개발자들과 나눈다는 뜻이다.

최근 다시 나타난 제펄린은 현재까지 약 64곳의 조직들을 공격한 것으로 보인다고 주니퍼는 보고서를 통해 알렸다. “이 캠페인에 사용되는 C&C 서버는 6월 4일에 이미 등록되었습니다. 패시브 DNS(passive DNS) 기록을 보면 제펄린이 사용된 건 8월 28일까지인 것으로 보이고요. 또 다시 사라진 것이라고 말할 수는 없지만, 일단 지난 며칠 동안은 활동이 중단되었다고 말할 수 있습니다. 또 RaaS 형태로 배포되는 랜섬웨어라, 또 언제 캠페인이 시작될지 모릅니다. 예측이 전혀 불가능합니다.”

제펄린은 델파이를 기반으로 한 랜섬웨어 패밀리인 베가(Vega) 혹은 베가록커(VegaLocker)의 변종으로 알려져 있다. 2019년 초반 러시아의 해킹 포럼에 처음 등장했다. 그러나 베가와 달리 표적형 공격에 특화되어 있었다. 2019년 처음 등장했을 때에는 기술 및 의료 업계를 주로 노렸었다. 유럽과 미국에서 피해 조직들이 속출했다. 이번 캠페인의 피해자에 대해서는 아직 상세히 공개되지 않고 있다.

3줄 요약
1. 2019년에 활동하다가 갑자기 사라졌던 제펄린 랜섬웨어, 다시 등장.
2. 지난 해 공격과 다른 점은 다운로더가 바뀌었다는 것.
3. 8월 28일 이후에는 잠잠한 상태. 사라졌다고 말하기는 이른 시기.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)