Home > 전체기사

이란의 아마추어 해커들, 다르마 랜섬웨어로 공격 중

  |  입력 : 2020-08-25 12:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다르마 혹은 크라이시스, 지난 3월 소스코드 공개되며 널리 퍼져
전통적 APT 강자 이란이 금전적 공격을? 북한 전철 밟을 수도 있어


[보안뉴스 문가용 기자] 이란 출신으로 보이는 아마추어 해커들이 전 세계 기업들의 RDP 포트들을 노리는 공격을 진행 중에 있다는 경고가 나왔다. 이들은 약하게 설정된 크리덴셜을 뚫어내고 있으며, 익스플로잇 성공 후 다르마(Dharma)라는 랜섬웨어를 심고 있다고 한다.

[이미지 = utoimage]


다르마는 크라이시스(Crysis)라는 이름으로도 알려져 있는 랜섬웨어로 최소 2016년부터 다크웹에서 RaaS(서비스형 랜섬웨어) 방식으로 유포되고 있다. 처음에는 APT 공격자들이 주로 사용해 왔으나, 2020년 3월 소스코드가 공개되면서 더 많은 공격자들이 활용할 수 있게끔 바뀌었다. 이번 이란 공격자들도 이 소스코드를 확보한 것으로 보이며, 현재 러시아, 일본, 중국, 인도의 조직들을 공격 중에 있다고 한다.

보안 업체 그룹IB(Group-IB)의 디지털 포렌식 전문가인 올렉 스컬킨(Oleg Skulkin)은 “다르마 소스코드가 유출된 덕분에 최근 다르마가 증가하는 추세에 있다”며 “많은 해커들이 이를 여기 저기에 활용하는 중”이라고 설명한다. 또한 “이란 해커들은 주로 정찰, 정보 탈취, 사보타쥬를 위한 해킹을 했었는데, 금전적인 목적을 가진 다르마를 활용하기 시작했다는 것이 의미심장하다”고 덧붙이기도 했다.

공격자들의 실력 자체는 그리 뛰어나지 않은 것처럼 보인다고 스컬킨은 설명한다. 자체적으로 만들거나 조작한 해킹 도구를 전혀 사용하지 않기 때문이다. 이들은 페르시아어로 구글 검색을 하고, 이란인들로 구성된 텔레그램 채널에서 도구들을 다운로드 했다. 또한 각종 서비스를 뚫기 위해 무작위 대입 방식을 주로 활용했다고 한다.

공격자들은 먼저 특정 범위의 IP주소를 스캔해서 취약한 RDP 포트가 호스팅 되어 있는 곳을 찾아냈다. 이 때 스캔 소프트웨어인 매스캔(Masscan)을 사용했다고 한다. 취약한 호스트가 나타나면 이번에는 NL브루트(NLBrute)라는 브루트포스 공격 애플리케이션을 사용해 공격을 실시했다. NL브루트는 해킹 포럼에서 수년 째 판매되고 있는 흔한 도구다. 공격자들은 이를 활용해 네트워크 접근에 성공할 뿐만 아니라 작동이 되는 크리덴셜도 확보할 수 있었다.

때론 권한 상승 취약점을 공략하려는 모습도 나타났다. 중간급 위험도를 가진 취약점인 CVE-2017-0213을 익스플로잇 하는 것인데, 익스플로잇을 통해 특수하게 조작된 애플리케이션을 실행시키는 것이 가능하다.

침해에 성공한 이후 공격자들은 갑자기 우왕좌왕 한 모습을 보이기 시작했다고 한다. “뚫고 들어와서의 목적 자체가 분명히 성립되지 않은 모습이었습니다. 이 점에서 이들이 그리 대단한 해커가 아니라는 걸 알 수 있습니다. 공격자들은 그때 그때 다른 도구들을 구글 검색 및 해킹 포럼으로부터 닥치는 대로 다운로드 해서 횡적으로 움직이거나 데이터를 탈취하곤 했습니다.”

여러 공격을 시도해 본 공격자들은 최종적으로 다르마라는 랜섬웨어를 심기 시작했다. 피해자들에게 1~5 비트코인을 요구하는 편지만 남기고 모든 파일을 암호화 했다. 그룹IB의 전문가들은 “피해 규모를 다 집계한 건 아니지만 여러 가지 증거와 흔적들을 봤을 때 공격자의 수준이 기존 이란 APT단체의 그것과는 비교가 되지 않을 정도로 낮다는 결론에 도달했다”고 설명한다.

다만 정찰 행위나 사보타쥬 등 ‘정치적’인 공격만 하던 이란에서 금전적 목적을 가진 해킹 단체가 등장했다는 것 자체는 간과해서는 안 될 부분이라고 그룹IB는 강조했다. “국제 제재에 자주 오르내리는 나라인 북한과 마찬가지로 경제적 어려움이 이란에 닥쳤을 것입니다. 앞으로도 돈을 노리는 이란발 해킹 사고가 더 자주 터질 것으로 예상됩니다. 북한의 전철을 밟을 가능성이 높다는 것이죠.”

이 아마추어 해킹 단체의 다르마 공격을 막으려면 디폴트 RDP 포트인 3389를 닫거나 철저히 관리해야 한다고 그룹IB는 강조했다. 또한 브루트포스 공격이 통하지 않도록 암호 입력 횟수를 제한하는 것도 필요하다고 덧붙였다. “물론 실패한 로그인 시도를 모니터링하고 어떤 계정에서 이러한 일이 일어났는지 살펴서 조치를 취하는 것도 좋은 생각입니다.”

3줄 요약
1. 정보 탈취와 사보타쥬에 능했던 이란 해커들, 돈에도 손대기 시작?
2. 최근 소스코드 공개된 다르마 랜섬웨어를 활용한 RDP 공격 적발됨.
3. 디폴트 RDP 포트 닫아두고 비밀번호 입력 횟수 제한시켜야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)