Home > 전체기사
이란의 아마추어 해커들, 다르마 랜섬웨어로 공격 중
  |  입력 : 2020-08-25 12:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다르마 혹은 크라이시스, 지난 3월 소스코드 공개되며 널리 퍼져
전통적 APT 강자 이란이 금전적 공격을? 북한 전철 밟을 수도 있어


[보안뉴스 문가용 기자] 이란 출신으로 보이는 아마추어 해커들이 전 세계 기업들의 RDP 포트들을 노리는 공격을 진행 중에 있다는 경고가 나왔다. 이들은 약하게 설정된 크리덴셜을 뚫어내고 있으며, 익스플로잇 성공 후 다르마(Dharma)라는 랜섬웨어를 심고 있다고 한다.

[이미지 = utoimage]


다르마는 크라이시스(Crysis)라는 이름으로도 알려져 있는 랜섬웨어로 최소 2016년부터 다크웹에서 RaaS(서비스형 랜섬웨어) 방식으로 유포되고 있다. 처음에는 APT 공격자들이 주로 사용해 왔으나, 2020년 3월 소스코드가 공개되면서 더 많은 공격자들이 활용할 수 있게끔 바뀌었다. 이번 이란 공격자들도 이 소스코드를 확보한 것으로 보이며, 현재 러시아, 일본, 중국, 인도의 조직들을 공격 중에 있다고 한다.

보안 업체 그룹IB(Group-IB)의 디지털 포렌식 전문가인 올렉 스컬킨(Oleg Skulkin)은 “다르마 소스코드가 유출된 덕분에 최근 다르마가 증가하는 추세에 있다”며 “많은 해커들이 이를 여기 저기에 활용하는 중”이라고 설명한다. 또한 “이란 해커들은 주로 정찰, 정보 탈취, 사보타쥬를 위한 해킹을 했었는데, 금전적인 목적을 가진 다르마를 활용하기 시작했다는 것이 의미심장하다”고 덧붙이기도 했다.

공격자들의 실력 자체는 그리 뛰어나지 않은 것처럼 보인다고 스컬킨은 설명한다. 자체적으로 만들거나 조작한 해킹 도구를 전혀 사용하지 않기 때문이다. 이들은 페르시아어로 구글 검색을 하고, 이란인들로 구성된 텔레그램 채널에서 도구들을 다운로드 했다. 또한 각종 서비스를 뚫기 위해 무작위 대입 방식을 주로 활용했다고 한다.

공격자들은 먼저 특정 범위의 IP주소를 스캔해서 취약한 RDP 포트가 호스팅 되어 있는 곳을 찾아냈다. 이 때 스캔 소프트웨어인 매스캔(Masscan)을 사용했다고 한다. 취약한 호스트가 나타나면 이번에는 NL브루트(NLBrute)라는 브루트포스 공격 애플리케이션을 사용해 공격을 실시했다. NL브루트는 해킹 포럼에서 수년 째 판매되고 있는 흔한 도구다. 공격자들은 이를 활용해 네트워크 접근에 성공할 뿐만 아니라 작동이 되는 크리덴셜도 확보할 수 있었다.

때론 권한 상승 취약점을 공략하려는 모습도 나타났다. 중간급 위험도를 가진 취약점인 CVE-2017-0213을 익스플로잇 하는 것인데, 익스플로잇을 통해 특수하게 조작된 애플리케이션을 실행시키는 것이 가능하다.

침해에 성공한 이후 공격자들은 갑자기 우왕좌왕 한 모습을 보이기 시작했다고 한다. “뚫고 들어와서의 목적 자체가 분명히 성립되지 않은 모습이었습니다. 이 점에서 이들이 그리 대단한 해커가 아니라는 걸 알 수 있습니다. 공격자들은 그때 그때 다른 도구들을 구글 검색 및 해킹 포럼으로부터 닥치는 대로 다운로드 해서 횡적으로 움직이거나 데이터를 탈취하곤 했습니다.”

여러 공격을 시도해 본 공격자들은 최종적으로 다르마라는 랜섬웨어를 심기 시작했다. 피해자들에게 1~5 비트코인을 요구하는 편지만 남기고 모든 파일을 암호화 했다. 그룹IB의 전문가들은 “피해 규모를 다 집계한 건 아니지만 여러 가지 증거와 흔적들을 봤을 때 공격자의 수준이 기존 이란 APT단체의 그것과는 비교가 되지 않을 정도로 낮다는 결론에 도달했다”고 설명한다.

다만 정찰 행위나 사보타쥬 등 ‘정치적’인 공격만 하던 이란에서 금전적 목적을 가진 해킹 단체가 등장했다는 것 자체는 간과해서는 안 될 부분이라고 그룹IB는 강조했다. “국제 제재에 자주 오르내리는 나라인 북한과 마찬가지로 경제적 어려움이 이란에 닥쳤을 것입니다. 앞으로도 돈을 노리는 이란발 해킹 사고가 더 자주 터질 것으로 예상됩니다. 북한의 전철을 밟을 가능성이 높다는 것이죠.”

이 아마추어 해킹 단체의 다르마 공격을 막으려면 디폴트 RDP 포트인 3389를 닫거나 철저히 관리해야 한다고 그룹IB는 강조했다. 또한 브루트포스 공격이 통하지 않도록 암호 입력 횟수를 제한하는 것도 필요하다고 덧붙였다. “물론 실패한 로그인 시도를 모니터링하고 어떤 계정에서 이러한 일이 일어났는지 살펴서 조치를 취하는 것도 좋은 생각입니다.”

3줄 요약
1. 정보 탈취와 사보타쥬에 능했던 이란 해커들, 돈에도 손대기 시작?
2. 최근 소스코드 공개된 다르마 랜섬웨어를 활용한 RDP 공격 적발됨.
3. 디폴트 RDP 포트 닫아두고 비밀번호 입력 횟수 제한시켜야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)