하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

피해자의 언어 사용해 속이는 학빗 랜섬웨어, 독일어 구사자 비상
등록일 :
2020.06.24
독일어 사용자들 사이에서 인기 높은 GMX 이메일 서비스에서 벌어지고 있는 캠페인
표적화 된 공격 통해 알짜배기만 노려...대량 메일 발송 등 하지 않아 탐지도 어려워


[보안뉴스 문가용 기자] 학빗(Hakbit)이라는 이름의 랜섬웨어 캠페인이 발견됐다. 인기 이메일 서비스인 GMX를 통해 악성 엑셀 첨부 파일을 보내는 방식으로 유포되고 있으며, 특히 오스트리아, 스위스, 독일의 중간 관리자급 직원들을 겨냥하고 있다고 한다.

[이미지 = utoimage]


공격은 스피어피싱 형태로 진행되며, 따라서 양이 많지는 않다. 현재까지 공격 표적이 된 곳은 제약 회사, 법률 회사, 금융 조직, 비즈니스 서비스 관리, 도소매, 의료 분야라고 한다. 공격자들은 다량의 도메인을 사용해 비교적 소량의 가짜 이메일을 내보냄으로써 블랙리스트 기반 혹은 양을 기반으로 한 방어 시스템을 무력화 한다.

이 캠페인을 발견한 프루프포인트(Proofpoint)는 보고서를 통해 “가장 많은 공격이 가해진 곳은 IT, 제조, 보험 분야인 것으로 나타났다”고 밝혔다. “대부분 사업상 연락처가 공개된 담당자들이 주로 공격을 받았습니다. 광고 담당자나 고객 상담 직원 등 인터넷 검색을 통해 쉽게 메일 주소를 알 수 있는 사람들이죠.”

학빗 공격자들이 보내는 메일 제목은 주로 “Fwd : Steuerrückzahlung(환급)”나 “Ihre Rechnung(영수증)”로 금전적인 내용을 담고 있다. 유럽인들이 즐겨 사용하는 GMX 이메일 서비스가 활용됐다. GMX는 독일어를 구사하는 사용자 층이 두터운 것으로 알려져 있으며, 무료로 사용할 수 있다.

메일에 첨부된 엑셀 파일은 영수증이나 환급 고지서처럼 생긴 가짜 파일이다. 이를 열면 엑셀 프로그램이 열리면서 매크로를 활성화하라는 창이 뜬다. 사용자가 이를 허용하면 구로더(GuLoader)라는 멀웨어가 다운로드 되고 실행된다. 구로더는 해커들 사이에 널리 사용되는 드로퍼 중 하나로, 2단계 멀웨어를 찾아 설치하는 기능을 가지고 있다. 2020년에만 해도 지속적인 업그레이드가 진행됐으며 현재는 여러 가지 기능을 탑재하고 있다.

구로더가 피해자의 시스템에서 실행되기 시작하면, 드디어 학빗 랜섬웨어의 페이로드가 다운로드 되고 실행된다. 학빗은 AES-256 암호화 알고리즘을 사용해 파일을 암호화 한다. 학빗은 2019년부터 알려진 랜섬웨어로, 현재까지 상당수의 피해자를 낳았다. 주로 미국과 유럽에서 피해가 발생하는 중이다.

학빗은 타노스(Thanos)라는 랜섬웨어와도 연관성이 짙은 것으로 보인다. 최근 보안 업체 레코디드 퓨처(Recorded Future)는 타노스 랜섬웨어에 대한 분석 보고서를 발표하면서 “학빗이라고 이름이 붙은 랜섬웨어도 타노스의 빌더로 구축된 것으로 보인다”고 주장했었다. 동일한 문자열이 발견되는 등 코드 유사성이 상당히 높았기 때문이다.

파일을 암호화 한 학빗 랜섬웨어는 협박 편지를 화면에 출력한다. 피해자에게 요구하는 금액은 250 유로다. 비트코인으로 지불할 수 있다. 하지만 아직까지 범인들이 표기한 비트코인 지갑 주소로 송금이 이뤄진 사례는 없다고 한다.

프루프포인트는 보고서를 통해 “이번 학빗 랜섬웨어 캠페인을 통해 최근 공격자들 사이에서 떠오르고 있는 전략을 확인할 수 있다”며 “양을 줄이되, 고도로 표적화 된 공격 콘셉트를 엿볼 수 있다”고 설명했다. “특정 조직에서 어떤 역할을 맡고 있을 피해자가, 그 위치에 있기 때문에 속을 만한 주제를, 피해자가 구사하는 언어로 만들어 공격한다는 건 공격에 큰 공을 들인다는 뜻입니다. 요즘 이런 표적형 랜섬웨어가 꽤나 유행하고 있습니다.”

3줄 요약
1. 학빗이라는 랜섬웨어, 현재 독일어 구사자들 노리며 공격 진행 중.
2. 엑셀 첨부파일과 구로더라는 멀웨어 드로퍼를 중간 단계에서 사용해 피해 시스템 감염.
3. 고도로 표적화 된 랜섬웨어 공격, 부피 줄여서 눈에 안 띄게 하고 효율 높임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top