0xNews - 신종 랜섬웨어로 한국 기업을 노리는 북한 해커 공격 경고

MS TSIC Microsoft Threat Intelligence Center 발표

2021년 9월부터 한국 기업을 대상으로 하는 사이버 공격에 랜섬웨어가 사용되는 공격 확인

H0lyGh0st 라는 이름의 해커 그룹으로 MS 에서는 DEV-0530 으로 지정하여 추적 중

제조업, 은행, 학교 등 중소기업을 주요 대상으로 공격하는 것으로 확인

H0lyGh0st 페이로드와 함께 DEV-0530 은 공격 대상자 시스템에 설치 후 연결되는 사이트로 .onion 사이트 지목

공격이 성공하면 대상 기기의 모든 파일 암호화 후 파일 확장자를 .h0lyenc 로 변경

피해자에게 증거로 파일 샘플을 보낸 후 파일에 대한 복원을 대가로 비트코인으로 지불할 것을 요구

현재까지 확인 결과 DEV-0530 은 피해자에게 1.2~5BTC 요구 중

암호화폐 지갑 분석 결과 2022년 7월초까지 피해자로부터 몸값 지불은 없는 것으로 확인

DEV-0530 은 DarkSeoul 혹은 Andariel 로 불려지는 다른 북한 기반 공격 그룹과 관련이 있는 것으로 파악

공격자는 랜섬웨어의 공격 환경이 점점 알려지면서 공격 성공 빈도가 낮아지면서 공격자의 정보가 외부 노출되는 것을 감안하면서 보다 더 적극적으로 수행

GoodWill 과 같은 부자가 가난한 자에게 기부를 함으로써 빈부격차를 줄이자는 명분을 내세우는 랜섬웨어 공격도 발견되면서 오히려 당당하게 랜섬웨어 공격의 정당성을 주장

Andariel 공격 그룹과는 기술적 이동 경로가 인프라 세트와의 중복 정보가 노출되면서 두 집단을 관리하는 상위 그룹이 동일한 것으로 분석

DEV-0530 활동은 한국 표준시 UTC +0900 을 기준으로 활동하는 것으로 관찰

2021년 6월부터 2022년 5월 사이 BTLC_C.exe, HolyRS.exe, HolyLock.exe, BLTC.exe 등 4가지 다른 변종 H0lyGh0st 랜섬웨어가 윈도우 운영체제 시스템을 대상으로 활동하는 것을 확인

BTLC_C.exe SiennaPurple 로 불리며 C++ 로 작성되었지만 다른 세가지 버전 SiennaBlue 는 Go 로 프로그래밍

공격자가 크로스 플랫폼 맬웨어를 개발 중임을 암시

다른 변종은 문자열 난독화나 예약된 작업을 삭제하고 감염된 컴퓨터에서 자기 자신을 제거하는 기능을 포함하여 핵심 기능이 개선

CVE-2022-26352 로 지정된 공개 웹 애플리케이션과 컨텐츠 관리 시스템의 취약점에 대한 패치되지 않은 점을 악용하여 시스템 침입이 촉진되는 중

이 취약점은 6월말~7월초 확인 됐으며 미국 CISA 는 해당 취약점을 2021년 5월경 부터 북한 해커 그룹에서 악용한 것으로 판단

openLab