보안뉴스 창간 17주년을 축하합니다!!

멜록스 랜섬웨어, DirectPlay 관련 프로그램으로 위장해 국내 유포중

입력 : 2023-03-11 21:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
감염 대상 PC의 특정 언어 환경에서는 감염 행위 제외하는 특징 나타나

[보안뉴스 김영명 기자] 멜록스(Mallox) 랜섬웨어가 DirectPlay 관련 프로그램으로 위장해 유포되고 있는 것이 확인됐다. 해당 랜섬웨어는 취약한 MS-SQL 서버를 대상으로 유포되고 있다.

DirectPlay 관련 프로그램으로 위장한 악성코드는 닷넷으로 빌드된 파일로 특정 주소로 접속해 추가 악성코드를 다운로드해 메모리 상에서 동작시킨다. 이 과정에서 특정 주소에 접속이 되지 않을 경우 무한 반복문을 통해 접속을 시도한다.

▲DirectPlay 프로그램으로 위장한 멜록스 랜섬웨어[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 멜록스 랜섬웨어를 분석한 결과, 과거부터 꾸준히 높은 비율로 유포되고 있는 것을 확인할 수 있었다고 밝혔다. 멜록스 랜섬웨어는 현재는 추가 악성코드를 다운로드하는 주소에 접속이 불가능하지만, 지난 2월에 확보한 멜록스 랜섬웨어와 접속하는 주소 도메인이 같은 것으로 보아 해당 도메인은 멜록스 랜섬웨어의 주요 유포지로 추정된다.

다운로드된 추가 악성코드는 Base64 인코딩된 데이터 파일이며, 해당 파일을 디코딩해 거꾸로 뒤집으면 닷넷으로 빌드한 DLL 파일임을 확인할 수 있다. 로드된 DLL은 파워쉘을 통한 지연 행위를 수행하고, 프로세스를 다시 실행해 인젝션한다.

▲레지스트리 삭제 화면[자료=안랩 ASEC 분석팀]


멜록스 랜섬웨어는 PC의 언어 설정에 따라 특정 언어 환경은 감염 행위에서 제외하는 특징이 있다. LangID 검사가 끝난 이후에는 레지스트리 삭제, 복구 비활성화, SQL 관련 서비스 및 프로세스 종료 명령을 수행한다.

이밖에도 해당 랜섬웨어는 정교한 감염 행위를 위해 시스템 종료 경고 메시지, 추가 레지스트리 설정 및 감염 PC 정보 유출 등의 행위를 수행한다. 또한, 특정 파일은 감염 대상에서 제외한다. 멜록스 랜섬웨어에 감염되면 파일은 [기존 파일명].mallox의 이름으로 암호화된다.

▲멜록스 랜섬웨어의 랜섬노트[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 랜섬웨어 예방을 위해서는 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 파일을 열기 전에 먼저 백신을 통한 검사를 진행해야 한다고 당부했다. 또한, PC에서 사용하는 백신도 최신 버전으로 꾸준한 업데이트 및 관리가 필요하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)