프루프포인트(Proofpoint) 연구진은 “이 그룹은 이전에 팬시 베어(Fancy Bear), 라자러스(Lazarus), 라자러스 그룹(Lazarus Group) 및 아르마다 콜렉티브(Armada Collective)와 같은 이름을 사용했다. 2020년 8월 중순부터 활동을 시작한 이 공격 그룹은 글로벌 금융기관 및 기업에 대해 랜섬 DDoS 공격 캠페인을 감행한 후, 2021년 4월부터 5월까지 약 한 달 동안 중단됐다"라고 말했다.
이 연구진은 블로그 게시물을 통해 “위협 행위자가 비트코인 지불을 요구하는데, 이에 응하지 않으면 불과 며칠 뒤 좀 더 실질적인 공격과 함께 소규모 서비스 거부 공격이 시작될 것이다”라고 전했다. 이제 이 그룹은 새로운 이름과 TTPs(Tactics, Techniques and Procedures)의 변화로 다시 부상했다.
팬시 라자러스의 DDoS 공격 방식 변경
이런 변화는 활동을 진화시키려는 이 공격 그룹의 노력을 보여준다. 변경 사항은 랜섬 가격(10비트코인에서 2비트코인으로 줄어듦, 이는 비트코인 가치 변동을 감안한 가격)의 하락과 수신자에게 보내는 이메일에 사용된 문구다. 연구진은 “일반 텍스트, HTML, 또는 JPG 이미지 첨부파일로 된 이메일 본문을 제외하고 동일한 정보를 전달하는 동일한 수신자에게 전송되는 3가지 이메일 변형이 있다. 이는 탐지를 피하려는 시도일 가능성이 높다”라고 밝혔다. 기존에는 보낸 사람이 CEO의 이름과 같은 표적 기업의 최고위급 인사를 포함하기도 했다. 가장 최근의 캠페인에서는 임의의 이름, 성 형식이 사용되고, 이름은 허구로 보인다고.
이 그룹이 "원래 이메일을 수정한 것만으로 그 효과를 나타내는 것은 흥미롭다. 그러나 2020년 8월부터 지금까지 이메일에서 완전히 다른 텍스트를 시도했다"라고 덧붙였다.
팬시 라자러스가 DDoS 공격을 구성하는 방법
이메일은 이 그룹이 현재 사용하고 있는 이름을 알리는 것으로 시작되며, 피해 기업이 구체적으로 표적이 됐음을 인정한다. 이 이메일은 이 공격 그룹의 ‘이전 작업’과 ‘뉴질랜드 증권거래소’와 같은 최근 유명 피해자에 대해 구글 검색을 촉구한다. 이 이메일은 “당신은 그들처럼 되고 싶지 않죠?”라고 묻는다. 그런 다음, 공격이 발생하는 프로세스에 대해 자세히 설명하면서 수신자의 네트워크가 명시된 기한까지 2비트코인의 수수료를 지불해야 한다. 그렇지 않으면 7일 이내에 DDoS 공격을 받게 될 것이라고 명시되어 있다. 그들의 심각성을 증명하기 위해 공격자들은 약 2시간 동안 지속되는 ‘몇 개의 임의의 IPS’에 대한 소규모 공격을 시작할 것이라고 주장한다. 이메일은 “이는 강력한 공격이 아니며, 피해를 입히지 않을 것이다”라고 밝혔다.
본격적인 공격과 관련해 공격 그룹은 2Tbps 이상일 것이며, 대응책은 없다고 주장했다. 이 이메일은 “이것은 당신의 웹사이트와 다른 연결된 서비스를 모든 사람이 이용할 수 없다는 것을 의미한다. 몸값을 결제하지 않으면 공격이 시작되고 중지 비용은 4비트코인으로 증가하며, 기한이 지나면 매일 1비트코인씩 증가한다”라고 협박했다.
랜섬 DDoS 공격의 증가
프루프포인트의 위협연구 및 탐지 책임자 셰럿 드그리포는 본지와의 인터뷰에서 "랜섬 DDoS 공격이 최근 개발된 것은 아니지만, 암호화폐 채택이 증가하면서 랜섬 DDoS 공격이 급증하고 있다"라고 설명했다. 드그리포는 “이 그룹의 활동으로 지난해 랜섬 DDoS 활동이 증가했다. 프루프포인트가 이 공격 활동을 처음 추적하기 시작한 2020년 8월 이후, 다양하고 관련이 없는 다양한 업종에 걸쳐 약 180여 곳의 기업이 이런 갈취 이메일을 받았다. 이 가운데 첫 달에 59곳의 기업에서 목격됐다.
드그리포는 “랜섬 DDoS 공격이 특히 웹 애플리케이션 방화벽이 없는 기업이나 합법적인 트래픽에서 DDoS 트래픽을 효과적으로 필터링할 수 있는 업스트림 서비스 제공업체에 대해 점점 더 효과를 발휘하고 있다”라고 말했다.
위협 행위자들은 항상 자신이 원하는 것을 얻을 수 있는 가장 효율적인 수단, 이 경우 재정적인 보상을 원한다. 드그리포는 “DDoS 공격은 시작하기가 점점 더 쉬워졌고, 랜섬웨어 공격에 필요한 것 보다 훨씬 적은 작업으로 상당한 보상을 받을 수 있다. 또한 이런 유형의 공격을 수행함으로써 위협 행위자는 랜섬웨어를 차단하는 자동 보안 보호 기능을 우회한다”라고 설명했다.
공격이 2Tbps 이상 될 것이라는 이 공격 그룹의 주장에 대해 드그리포는 공격에 대한 완전한 가시성 없이는 확실한 검증이 어렵다고 인정했다. 그러나 “FBI 보고서와 정보 공유 단체에 따르면, 일부 공격이 약 2Tbps에 이른 것으로 알려지고 있다”라고 말했다. 그러나 FBI 보고에 따르면, 위협을 받고 기한을 넘긴 많은 기업이 추가 공격 활동을 보지 못했거나 공격 활동을 성공적으로 완화했다고 밝힌 것도 주목할 필요가 있다.
드그리포는 그럼에도 불구하고 기업은 적절한 완화 조치를 취함으로써 이런 공격에 대비해야 한다고 결론내렸다. “여기에는 DoS 보호 서비스를 사용하고 재해 복구 계획을 준비하는 것이 포함된다. 공격을 받았을 때 좋은 기술과 파트너십을 통해 DDoS 트래픽을 필터링하는 데 도움을 받아야 한다. 기관과 기업은 이런 상황이 발생하기 전에 이런 시나리오에서 무엇을 해야할지 계획을 수립해야 한다"라고 조언했다. editor@itworld.co.kr