2021.08.25

미 FBI, ‘원퍼센트’ 랜섬웨어 공격 주의보 “한달 전부터 네트워크 암약”

Lucian Constantin | CSO
미국 연방수사국(FBI)이 원퍼센트(OnePercent, 혹은 1Percent)라고 불리는 랜섬웨어 공격 단체에 대해 주의하라고 23일(현지시간) 경고했다.
 
ⓒ Getty Images Bank

이 단체는 아이스드아이디(IcedID) 트로이안과 모의 해킹 툴 코발트 스트라이크(Cobalt Strike)를 이용해 기업 네트워크에 침투한다. 이미 유명한 다른 랜섬웨어 공격 단체처럼 원퍼센트는 기업 데이터를 암호화해 탈취한 뒤, 몸값을 지급하지 않으면 해당 정보를 공개하거나 판매할 것이라고 피해 기업을 협박한다.

원퍼센트는 적어도 지난 2020년 11월부터 미국 기업을 상대로 활동한 것으로 보인다. 이들은 최초의 몸값 요청에 일주일 안으로 응답하지 않으면 위조된 번호를 이용해 전화하거나 지속적으로 이메일을 보내는 등 적극적으로 몸값을 요구한다.


아이스드아이디와 코발트 스트라이크를 이용한 ‘낚시’

원퍼센트는 피해 기업의 네트워크에 처음 잠입할 때 아이스드아이디 트로이목마를 사용한다. 아이스드아이디는 본래 온라인 은행 정보를 빼내도록 설계되었지만, 여타 뱅킹 트로이목마와 마찬가지로 플랫폼에도 접근할 수 있도록 기능이 확장됐다. 과거 트릭봇(TrickBot) 뱅킹 트로이안을 유포한 류크(Ryuk) 랜섬웨어 그룹과 드라이덱스(Dridex)를 유포한 웨이스티드락커(WastedLocker), 굿킷(Gootkit)을 유포한 레빌(REvil) 혹은 소디노키비(Sodinokibi) 그룹과 유사하다.

아이스드아이디는 악성코드 압축파일이 첨부된 피싱 이메일을 통해 배포된다. 압축파일에 들어있는 워드파일에는 아이스드아이디를 다운로드하고 설치한 후, 이를 실행하는 매크로 시스템이 들어있다.

원퍼센트는 아이스드아이디를 설치한 후 코발트 스트라이크(Cobalt Strike)를 배치한다. 코발트 스트라이크는 상업적으로 활용되는 모의 해킹 도구로, 최근 몇 년 사이 여러 사이버 범죄에서 사용되며 유명해졌다. 시스템에 접근할 수 있는 백도어를 생성하고 파워쉘 스크립트를 실행시켜 네트워크에 우회적으로 접속한다.


원퍼센트 툴셋

원퍼센트는 데이터를 암호화하기 전 피해 기업의 네트워크를 장기간 살펴본 후 목표로 한 데이터에 접근해 빼낸다. FBI는 “랜섬웨어가 배치되기 약 한 달 전부터 피해 기업의 네트워크에서 공격자의 활동을 발견했다”라고 설명했다.

이 기간에 해커 단체는 다양한 오픈소스 툴을 활용한다. 암호 탈취 도구인 미미캐츠(MimiKatz), 샤프캐츠(SharpKatz), 베터세이프티캐츠(BetterSafetyKatz), 닷넷으로 작성된 후속 공격(post-exploitation) 라이브러리 샤프스플로잇(SharpSploit), 커맨드 라인 유틸리티 알클론(Rclone) 등이다. 특히 알클론은 클라우드에 있는 파일까지 제어할 수 있어 이번 원퍼센트의 공격에서도 데이터를 탈취하는 데 사용됐다. FBI는 악성 코드 감지 프로그램에 다양한 알클론 바이너리의 해시값을 추가하라고 미국 기업들에 조언했다.


공격적인 강탈

원퍼센트는 연락 방법과 돈을 요구하는 이른바 ‘몸값 요구서’를 보낸다. 이들은 실시간 채팅 기능을 이용해 연락하고 몸값을 확인할 수 있도록 토르(Tor) 네트워크에서 구동되는 홈페이지에 접속하도록 지시한다. 돈을 받을 비트코인 주소도 알려준다.

만약 피해 기업이 몸값을 지급하지 않거나 일주일 내로 연락하지 않으면 원퍼센트는 전화와 프로톤메일(ProtonMail)로 이메일을 보내 다시 접근한다.

FBI는 “원퍼센트는 사내 협상가와 연락할 수 있도록 끊임없이 요구하거나 탈취한 데이터를 공개할 것이라고 협박할 것”이라며, “피해 기업이 대응하지 않으면, 그 다음에는 프로톤메일을 통해 훔친 데이터를 공개할 것이라고 협박한다”라고 설명했다.

이들의 갈취에는 단계가 있다. 피해 기업이 몸값 요구에 신속하게 응답하지 않으면 일부 데이터를 공개한다고 협박하고, 이 협박 이후에도 여전히 몸값을 받지 못하면 데이터를 레빌/소디노키비 단체에 판매할 것이라고 협박하는 수순을 거친다.

원퍼센트는 레빌 외에 다른 서비스형 랜섬웨어(Ransomware-as-a-Service) 운영사와 관련돼 있을 가능성도 있다. FBI가 공개한 원퍼센트의 일부 타협 지표(indicators of compromise)와 해킹 방식이 지난 2월 사이버 보안 회사 파이어아이(FireEye)가 발표한 해커 단체 UNC2198 분석 보고서에서 나타나는 타협 지표와 유사하기 때문이다.

파이어아이의 분석에 따르면, 지난 2020년 6월 UNC2198는 메이즈(Maze)와 에그레고르(Egregor) 랜섬웨어를 사용했다. 따라서 원퍼센트는 피해자와 협상하고 악성코드를 배포하며, 악성코드 제작자와 일부 수익을 공유하는 랜섬웨어 생태계와 연결된 단체일 수도 있다. editor@idg.co.kr


2021.08.25

미 FBI, ‘원퍼센트’ 랜섬웨어 공격 주의보 “한달 전부터 네트워크 암약”

Lucian Constantin | CSO
미국 연방수사국(FBI)이 원퍼센트(OnePercent, 혹은 1Percent)라고 불리는 랜섬웨어 공격 단체에 대해 주의하라고 23일(현지시간) 경고했다.
 
ⓒ Getty Images Bank

이 단체는 아이스드아이디(IcedID) 트로이안과 모의 해킹 툴 코발트 스트라이크(Cobalt Strike)를 이용해 기업 네트워크에 침투한다. 이미 유명한 다른 랜섬웨어 공격 단체처럼 원퍼센트는 기업 데이터를 암호화해 탈취한 뒤, 몸값을 지급하지 않으면 해당 정보를 공개하거나 판매할 것이라고 피해 기업을 협박한다.

원퍼센트는 적어도 지난 2020년 11월부터 미국 기업을 상대로 활동한 것으로 보인다. 이들은 최초의 몸값 요청에 일주일 안으로 응답하지 않으면 위조된 번호를 이용해 전화하거나 지속적으로 이메일을 보내는 등 적극적으로 몸값을 요구한다.


아이스드아이디와 코발트 스트라이크를 이용한 ‘낚시’

원퍼센트는 피해 기업의 네트워크에 처음 잠입할 때 아이스드아이디 트로이목마를 사용한다. 아이스드아이디는 본래 온라인 은행 정보를 빼내도록 설계되었지만, 여타 뱅킹 트로이목마와 마찬가지로 플랫폼에도 접근할 수 있도록 기능이 확장됐다. 과거 트릭봇(TrickBot) 뱅킹 트로이안을 유포한 류크(Ryuk) 랜섬웨어 그룹과 드라이덱스(Dridex)를 유포한 웨이스티드락커(WastedLocker), 굿킷(Gootkit)을 유포한 레빌(REvil) 혹은 소디노키비(Sodinokibi) 그룹과 유사하다.

아이스드아이디는 악성코드 압축파일이 첨부된 피싱 이메일을 통해 배포된다. 압축파일에 들어있는 워드파일에는 아이스드아이디를 다운로드하고 설치한 후, 이를 실행하는 매크로 시스템이 들어있다.

원퍼센트는 아이스드아이디를 설치한 후 코발트 스트라이크(Cobalt Strike)를 배치한다. 코발트 스트라이크는 상업적으로 활용되는 모의 해킹 도구로, 최근 몇 년 사이 여러 사이버 범죄에서 사용되며 유명해졌다. 시스템에 접근할 수 있는 백도어를 생성하고 파워쉘 스크립트를 실행시켜 네트워크에 우회적으로 접속한다.


원퍼센트 툴셋

원퍼센트는 데이터를 암호화하기 전 피해 기업의 네트워크를 장기간 살펴본 후 목표로 한 데이터에 접근해 빼낸다. FBI는 “랜섬웨어가 배치되기 약 한 달 전부터 피해 기업의 네트워크에서 공격자의 활동을 발견했다”라고 설명했다.

이 기간에 해커 단체는 다양한 오픈소스 툴을 활용한다. 암호 탈취 도구인 미미캐츠(MimiKatz), 샤프캐츠(SharpKatz), 베터세이프티캐츠(BetterSafetyKatz), 닷넷으로 작성된 후속 공격(post-exploitation) 라이브러리 샤프스플로잇(SharpSploit), 커맨드 라인 유틸리티 알클론(Rclone) 등이다. 특히 알클론은 클라우드에 있는 파일까지 제어할 수 있어 이번 원퍼센트의 공격에서도 데이터를 탈취하는 데 사용됐다. FBI는 악성 코드 감지 프로그램에 다양한 알클론 바이너리의 해시값을 추가하라고 미국 기업들에 조언했다.


공격적인 강탈

원퍼센트는 연락 방법과 돈을 요구하는 이른바 ‘몸값 요구서’를 보낸다. 이들은 실시간 채팅 기능을 이용해 연락하고 몸값을 확인할 수 있도록 토르(Tor) 네트워크에서 구동되는 홈페이지에 접속하도록 지시한다. 돈을 받을 비트코인 주소도 알려준다.

만약 피해 기업이 몸값을 지급하지 않거나 일주일 내로 연락하지 않으면 원퍼센트는 전화와 프로톤메일(ProtonMail)로 이메일을 보내 다시 접근한다.

FBI는 “원퍼센트는 사내 협상가와 연락할 수 있도록 끊임없이 요구하거나 탈취한 데이터를 공개할 것이라고 협박할 것”이라며, “피해 기업이 대응하지 않으면, 그 다음에는 프로톤메일을 통해 훔친 데이터를 공개할 것이라고 협박한다”라고 설명했다.

이들의 갈취에는 단계가 있다. 피해 기업이 몸값 요구에 신속하게 응답하지 않으면 일부 데이터를 공개한다고 협박하고, 이 협박 이후에도 여전히 몸값을 받지 못하면 데이터를 레빌/소디노키비 단체에 판매할 것이라고 협박하는 수순을 거친다.

원퍼센트는 레빌 외에 다른 서비스형 랜섬웨어(Ransomware-as-a-Service) 운영사와 관련돼 있을 가능성도 있다. FBI가 공개한 원퍼센트의 일부 타협 지표(indicators of compromise)와 해킹 방식이 지난 2월 사이버 보안 회사 파이어아이(FireEye)가 발표한 해커 단체 UNC2198 분석 보고서에서 나타나는 타협 지표와 유사하기 때문이다.

파이어아이의 분석에 따르면, 지난 2020년 6월 UNC2198는 메이즈(Maze)와 에그레고르(Egregor) 랜섬웨어를 사용했다. 따라서 원퍼센트는 피해자와 협상하고 악성코드를 배포하며, 악성코드 제작자와 일부 수익을 공유하는 랜섬웨어 생태계와 연결된 단체일 수도 있다. editor@idg.co.kr


X