보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

새롭게 등장한 야슈마 랜섬웨어의 변종, 한 번 당하면 지독하게 당할 수 있다

입력 : 2023-08-09 16:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
새로운 야슈마 변종이 등장했다. 배후에는 베트남의 공격자들이 있는 것으로 의심된다. 이전 야슈마 랜섬웨어와 같은 점도 있고 다른 점도 있는데, 골치 아픈 것들만 잘 섞어놓았다는 인상을 준다.

[보안뉴스 문정후 기자] 베트남 출신들로 구성된 것으로 보이는 한 해킹 공격 단체가 등장했다. 이들은 야슈마(Yashma)라는 랜섬웨어의 커스텀 버전을 주요 무기로 활용하고 있다. 공격의 표적은 영어를 사용하는 여러 국가들과 불가리아, 중국, 베트남으로 현재까지는 집계되고 있다. 시스코의 탈로스(Talos) 팀에 의하면 “아직까지 한 번도 알려지지 않은 해킹 팀”이라며 “야슈마를 활용한 본격적인 공격은 6월초부터 시작된 것으로 보인다”고 말한다.

[이미지 = gettyimagesbank]


야슈마는 닷넷(.NET)을 기반으로 만든 32비트 실행파일로, 악명 높은 카오스(Chaos) 랜섬웨어의 5번째 버전의 또 다른 이름이다. 카오스 5번 버전의 기능 대부분을 유지하고 있긴 하지만 다른 점들도 존재한다. 피해자에게 협박 편지를 전달하는 방법이 특히 다르다. 탈로스 팀에 따르면 야슈마의 협박 편지 배송 방법은 카오스보다 오히려 워너크라이(WannaCry)에 가깝다고 한다.

어떻기에 그럴까? 탈로스의 보안 연구원 체탄 라구프라사드(Chetan Raghuprasad)는 자사 블로그 게시글을 통해 다음과 같이 설명한다. "일반적으로 랜섬웨어는 바이너리에 협박 편지 텍스트를 문자열로 저장합니다. 그러나 이 야슈마 랜섬웨어는 배치 파일에 담습니다. 배치 파일에는 공격자들이 제어하는 깃허브 리포지터리에서 협박 편지를 다운로드하라는 내용의 명령이 포함되어 있습니다."

이 기술은 일반적으로 바이너리 파일에 내장된 협박 편지 문자열을 감지하는 엔드포인트 탐지 솔루션 및 백신 소프트웨어를 회피하는 데 유용하다. 뿐만 아니라 공격자들은 피해자들이 3일 이내에 비트코인으로 돈을 지불할 것을 요구하고 있는데, 만약 이 기한을 어기게 되면 요구액이 2배 늘어난다고 한다. 주인공에게 피해자에게 연락할 수 있는 방법은 이메일인데, 주소가 nguyenvietphat.n@gmail.com으로, 베트남어를 기반으로 하고 있음을 알 수 있다.

공격자들이 제어하고 있으며, 이번 공격에 활용하고 있는 깃허브 계정의 이름 역시 nguyenvietphat이다. nguyenvietphat은 베트남 내에서 꽤나 유명한 범죄 조직의 이름이기도 하다. 공격자들이 제시하고 있는 연락 가능한 시간은 베트남에서 지켜지고 있는 일반적인 근무 시간과 겹친다. 여러 모로 베트남으로 의혹이 가게 하는 증거들이다.

탈로스 팀은 현재 야슈마 랜섬웨어가 완성된 것은 아닌 것으로 보인다고 한다. 일단 공격자들의 것으로 보이는 암호화폐 지갑에 비트코인이 하나도 없으며, 협박 편지에는 어느 정도의 돈을 피해자들이 내야 하는지 제시되지 않고 있다. 다만 이들의 깃허브 계정에는 영어, 불가리아어, 베트남어, 간체 중국어, 번체 중국어로 된 협박 편지가 저장되어 있었고, 이를 통해 탈로스 팀은 이들의 주요 표적을 알 수 있다고 설명한다.

원래의 야슈마 랜섬웨어는 2022년 5월 처음 등장했다. 카오스라는 악성 코드 빌더 내에 포함되어 있는 랜섬웨어였으나, 이미 그 때부터 완성된 멀웨어였고, 따라서 카오스와 상관없이 단독으로 사용되어도 이상할 것이 없었다. 카오스는 여러 가지 악성 공격을 가능하게 해 주는 도구로, 해커들을 위한 일종의 ‘스위스군 휴대용 칼’과 같은 존재였다. 그런 야슈마가 변이되고 또 변이되면서 결국 나타난 것이 지금의 야슈마라고 할 수 있다.

이번 야슈마는 기존 버전들과 협박 편지라는 측면에서도 다르지만 공격 지속성을 확보하는 방법에서도 차이를 보인다. “이전 버전의 야슈마는 Run이라는 레지스트리 키를 악용하고, 또 윈도 시작 폴더에 랜섬웨어 실행 파일과 연결된 바로가기 파일을 만들어 삽입하는 방식으로 공격 지속성을 확보했습니다. 이번 버전에서도 이 방법이 똑같이 사용되고 있습니다만, 여기에 추가된 게 있습니다. AppData/Roaming/svchost.exe과 같은 폴더에 실행파일을 드롭시키는 것입니다. 그리고 이 파일의 바로가기 파일을 시작폴더에 삽입합니다.”

원래의 골치 아팠던 기능을 그대로 유지하고 있기도 하다. “야슈마는 독특한 복구 방지 기능을 이전부터 차용해 왔습니다. 피해자의 파일을 암호화 한 후에 원 파일의 콘텐츠를 전부 삭제하고 나서 “?”라는 문자 하나만 남겨두는 것이죠. 이렇게 하면 사건 대응과 추적, 포렌식 분석이 매우 어려워집니다. 파일 복구도 훨씬 어려워지고요.”

한 마디로 최근 등장하여 유행하기 시작한 야슈마는 한 번 당하면 꽤나 골치를 썩게 만들 수 있는 지독한 멀웨어라고 할 수 있다. 그렇기에 탈로스 팀은 최대한 성공적인 방어를 할 수 있도록 침해지표를 공개하고 있다. 또한 엔드포인트 보호 솔루션과 웹 앱 보안 솔루션, 이메일 솔루션도 적극 활용할 것을 권고하고 있기도 하다. “랜섬웨어는 이메일을 통해 침투하는 경우가 꽤나 많습니다. 그러니 이메일 쪽을 잘 틀어막는 것이 중요한 전략이 될 수 있습니다.”

글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트;
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대