2022년 하반기 대비 2023년 상반기 맬록스 공격 증가율
174
%
자료 제목 :
위협 그룹 평가: 맬록스 랜섬웨어
Threat Group Assessment: Mallox Ransomware
자료 출처 :
Palo Alto Networks
원본자료 다운로드
발행 날짜 :
2023년 07월 20일
보안

“취약한 MSSQL 서버 겨냥한 맬록스 랜섬웨어 공격, 작년보다 174% 증가”

Lucian Constantin | CSO 2023.08.02
취약한 MSSQL(Microsoft SQL) 서버에 대한 맬록스(Mallox) 랜섬웨어 공격이 최근 급증하고 있다. 보안 업체 팔로알토 네트웍스는 올해 맬록스 공격 건수가 2022년 하반기보다 174% 증가했다고 말했다.
 
ⓒ Getty Images Bank

팔로알토 연구팀은 보고서에서 “맬록스 랜섬웨어 공격 집단은 피해자가 수백 명이라고 주장한다. 실제 피해자 수는 아직 알려지지 않았지만, 원격 분석 결과 전 세계적으로 제조, 전문 및 법률 서비스, 도소매 등 여러 산업에 걸쳐 수십 명의 잠재적 피해자가 있는 것으로 나타났다”라고 설명했다.


랜섬웨어 공격 진입점이 된 MSSQL

일반적으로 맬록스 공격 집단은 공개적으로 노출돼 있고 취약한 자격 증명을 가진 MSSQL 서버를 손상시켜 네트워크에 침입한다. 맬록스가 가장 선호하는 방법은 일반적으로 사용되거나 알려진 비밀번호 목록을 사용하는 사전 기반 무차별 대입 공격이다. 침입에 성공하면 공격자는 원격 서버에서 추가 스크립트와 최종적으로 맬록스 페이로드를 가져와 시스템에서 실행하는 명령줄 및 파워셸(PowerShell) 스크립트를 실행한다. 여기에는 updt.ps1, system.bat, 및 tzt.exe 파일이 포함된다.

tzt.exe로 이름이 변경되는 system.bat 스크립트는 사용자 이름 SystemHelp를 생성하고 이에 대한 RDP(Remote Desktop Protocol) 액세스를 활성화한다. 이렇게 하면 공격자는 기기에 연결할 수 있는 다른 방법을 사용할 수 있다. 

WMI(Window Management Instrumentation)을 사용해 실행되는 tzt.exe 파일은 맬록스 페이로드로, 합법적인 sc.exe 및 net.exe 프로세스를 비활성화하고 제거한다. 그런 다음 데이터 복구를 방지하기 위해 볼룸 섀도 복사본 삭제를 시도하고 포렌식 분석을 방지하기 위해 마이크로소프트의 wevtutil 명령줄 유틸리티를 사용해 애플리케이션, 보안 및 시스템 이벤트 로그를 지운다. 또한 탐지를 회피하기 위해 보안 제품과 관련한 프로세스 및 서비스를 종료하고 랙신(Raccine)과 같은 랜섬웨어 방지 프로그램을 우회하고 시스템 관리자가 bcdedit.exe를 통해 시스템 이미지 복구 기능을 로드하지 못하도록 조치한다.

팔로알토 네트웍스가 분석한 맬록스 샘플은 ChaCha20 알고리즘을 사용해 파일을 암호화하고, 암호화된 파일에 .malox 확장자를 추가했다. 과거 해당 공격 집단은 .FARGO3, .exploit, .avast, .bitenc, .xollam 등 다른 확장자와 이름을 사용하기도 했다. 


맬록스 공격 확대 움직임 포착

맬록스 공격 집단은 최소 2021년 6월부터 활동해 왔으며, 대부분의 최신 랜섬웨어 공격 집단과 마찬가지로 이중 갈취를 일삼는다. 공격자는 파일 암호화 외에도 데이터를 유출하고 피해자가 몸값을 지불하지 않으면 공개 사이트에 유출하겠다고 협박한다.

2023년 1월, 맬록스 일원으로 추정되는 사람의 인터뷰에 따르면, 맬록스는 비록 규모는 작지만 확장을 모색하고 있다. 팔로알토 연구팀은 2개의 지하 포럼에서 맬록스 그룹이 RaaS(Ransomware-as-a-Service) 프로그램을 준비하고 있으며, 제휴사를 찾고 있다는 광고를 발견했다.

팔로알토 연구팀은 “맬록스 랜섬웨어 그룹은 지난 몇 달 동안 더욱 활발하게 활동했으며, 조직원 모집에 성공할 경우 더 많은 피해자가 생길 수 있다. 기업은 보안 베스트 프랙티스를 구현하고 랜섬웨어의 지속적인 위협을 방어할 수 있도록 준비해야 한다”라고 경고했다. 

지난달 보안 업체 트러스트웨이브(Trustwave)는 허니팟에서 수집한 데이터를 분석한 결과, 전체 데이터베이스 서버 가운데 MSSQL이 가장 큰 공격 대상이었다고 보고한 바 있다. MSSQL 무차별 암호 대입 공격이 93% 이상을 차지했으며, 일부 공격에서는 로그인 시도가 300만 건 발생한 것으로 조사됐다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.