2024-03-29 17:15 (금)
윈도우와 리눅스 노리는 신종 타이쿤 랜섬웨어 발견…주의
상태바
윈도우와 리눅스 노리는 신종 타이쿤 랜섬웨어 발견…주의
  • 길민권 기자
  • 승인 2020.06.09 10:45
이 기사를 공유합니다

고도로 타깃화된 공격 통해 매우 적은 수의 피해자들만 공격
공격 타임라인
공격 타임라인

2019년 12월부터 시작된 소프트웨어 및 교육 업계 중소기업을 노리는 타깃 공격을 통해 새로운 ‘인간 개입’ 랜섬웨어 변종이 확산되고 있는 것으로 나타났다.

블랙베리 블로그에 따르면, 블랙베리(BlackBerry)와 KPMG 보안 연구원들이 타이쿤(Tycoon)이라 명명한 이 랜섬웨어는 다중 플랫폼 자바 기반 악성코드로 윈도우 및 리눅스 기기를 모두 암호화하는 것이 가능하다.

타이쿤은 운영자가 인터넷에 노출된 취약한 RDP 서버를 통해 피해자의 네트워크에 침투한 후 “트로이화된 JRE(Java Runtime Environment) 빌드를 포함하고 있는 ZIP 압축파일”의 형태로 직접 배포한다.

타이쿤은 지난 6개월 동안 발생한 실제 공격에서 발견되었지만, 고도로 타깃화된 공격을 통해 매우 적은 수의 피해자들만 노린 것으로 보인다.

일부 이메일 주소와 랜섬노트 내 메시지, 암호화된 파일에 사용된 네이밍 규칙을 살펴본 결과 Tycoon과 Dharma/CrySIS 랜섬웨어와의 많은 접점이 발견되었다.

연구원들은 2020년 4월 발생한 랜섬웨어 공격을 분석하던 중 이 악성코드를 발견했다.

이 랜섬웨어는 조직을 노린 타깃 공격을 통해 배포되었다. 도메인 컨트롤러와 파일 서버에 공격을 받아 시스템 관리자는 시스템에 접근할 수 없었다.

감염된 시스템에 대한 포렌식 조사를 진행한 결과, 인터넷에 노출된 RDP 점프 서버를 통해 침입이 발생한 것으로 보인다.

연구원들은 암호화된 기기를 확인해본 결과 아래 사항을 발견할 수 있었다.

△지속성을 얻고 마이크로소프트 윈도우 온스크린 키보드(OSK) 기능에 백도어를 설치하기 위해 이미지 파일 실행 옵션(IFEO) 인젝션 사용

△감염된 서버에 접근할 수 없도록 활성 디렉터리 패스워드 변경

△ProcessHacker를 통해 백신 프로그램 비활성화

△최종 단계를 위해 모든 준비가 완료된 후 Java 랜섬웨어 모듈을 배포해 모든 파일 서버와 네트워크를 암호화

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★