배드래빗, NSA 해킹 툴 ‘이터널로맨스’ 이용해 전파

러시아 중심으로 전 세계 15개국 감염시킨 배드래빗 랜섬웨어
NSA 해킹 툴 이용해 전파... 낫페트야와 동일 공격자로 추정

[보안뉴스 오다인 기자] 배드래빗(Bad Rabbit) 랜섬웨어가 24일을 기점으로 맹렬하게 전파됨에 따라 보안 연구자들은 데이터 원격 수집 등을 통해 이번 공격을 낱낱이 파헤치고 있다. 맨 처음 드러난 사실은 배드래빗이 페트야(Petya)와 낫페트야(NotPetya)의 코드를 수정해서 사용하긴 했지만 워너크라이(WannaCry) 같은 익스플로잇을 통해 전파되진 않았다는 점이었다.

[이미지=iclickart]

그러나 26일 시스코 시스템즈(Cisco Systems)의 탈로스 연구팀은 배드래빗 랜섬웨어 공격이 일명 ‘이터널로맨스(EternalRomance)’라는 익스플로잇을 사용해 전파됐다고 발표했다. 이터널로맨스는 미국 국가안보국(NSA)에서 유출된 툴 중의 하나로, 올 여름 ‘니에트야(Nyetya: ‘페트랩(Petrwrap)’ 또는 ‘골든아이(Goldeneye)’라고도 불린다)’ 랜섬웨어 공격에서 피해 조직 내에서 전파되는 데 사용된 툴이기도 하다.

배드래빗 랜섬웨어는 15개 국가의 정부기관, 언론사, 교통기관 등 수백 개 조직에 피해를 입혔다. 러시아의 대형 언론사 인터팩스 에이전시(Interfax Agency)와 온라인 뉴스 사이트 폰탄카(Fontanka), 우크라이나의 교통기관 키예프 메트로(Kiev Metro)과 오데사 국제공항(Odessa International Airport)을 포함해 여러 사회기반시설 및 금융 관계 부처도 이번 랜섬웨어 공격으로 피해를 입었다. 가장 큰 피해를 입은 지역은 러시아로, 보안 업체 어베스트(Avast)에 따르면 71%의 피해자가 러시아에 집중됐다.

전 세계 보안 연구자들은 현재 배드래빗 공격의 사후조사를 수행하고 있으며, 공격의 배후와 멀웨어의 출처에 대해서는 아직까지 논란이 일고 있는 상태다.

25일 연구자들은 배드래빗 공격자가 하드코드된 크리덴셜 목록과 미미카츠(Mimikatz)의 비밀번호 추출 수법을 이용해서 SMB 로컬 네트워크로 웜이 전파되는 것처럼 배드래빗을 전파시켰다는 사실을 정확히 짚어낼 수 있었다.

시스코 발표에 따르면, 배드래빗을 SMB를 통해 직접 퍼뜨리는 수단으로 이터널로맨스도 사용됐다.

시스코 탈로스의 위협 연구자 닉 비아시니(Nick Biasini)는 “(배드래빗은) 아직까지 활발하게 조사되고 있는 대상”이라면서 “리버스 엔지니어링(reverse engineering) 분석 결과, 어떤 익스플로잇 하나가 배드래빗에 들어있었다는 사실을 밝혀낼 수 있었다”고 설명했다. “처음엔 이 익스플로잇이 사용된 흔적도 찾을 수 없었습니다. 이런 익스플로잇이 실제 사용된 사례에 대해서도 전혀 드러난 바 없었고요. 리버스 엔지니어링 과정에서 이 익스플로잇의 정체가 드러난 것이죠.”

한편, 배드래빗을 연구하고 있는 러시아의 보안 업체 그룹 IB(Group IB)는 26일 배드래빗의 최초 감염 경로를 밝혔다. 그룹 IB에 따르면, 배드래빗은 러시아와 우크라이나의 여러 언론사 웹사이트에서 드라이브 바이(drive-by) 다운로드 방식으로 최초로 멀웨어를 전파시켰다. 또한, 그룹 IB 연구자들은 배드래빗 공격자가 올해 6월 우크라이나의 에너지, 금융, 통신사 등의 조직을 겨냥해 낫페트야 공격을 펼친 자와 동일 인물일 가능성이 “매우 높다”고 말했다.

그룹 IB는 26일 공지를 통해 “배드래빗은 해시 계산, 네트워크 분산 로직, 로그 제거 프로세스 등에서 낫페트야와 동일한 기능을 갖고 있다”고 설명했다.
[국제부 오다인 기자(boan2@boannews.com)]

보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
	보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
	전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
	2023년 클라우드 생태계를 위협할 다양한 보안이슈들
	전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
	피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
	2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
	밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
	주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
	메타버스, 주목받는 만큼 증가하는 보안위협
	스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야