중국 해커 조직 브론즈 스트레이트가 데이터 탈취와 지적 재산권 침해를 목적으로 랜섬웨어를 배포하고 있어 주의가 필요하다.
시큐어웍스 CTU 보안 연구원에 따르면, 브론즈 스트레이트가 배포 중인 랜섬웨어 제품군은 LockFile, Atom Silo, Rook, Night Sky, Pandora, LockBit 2.0 등 랜섬웨어와 비슷한 것으로 알려진다.
이 랜섬웨어는 DLL 하이재킹을 위해 맞춤형 DLL 로더의 일종인 HUI 로더를 사용한다. HUI 로더는 감염된 호스트에게 배포된 암호화된 페이로드를 포함하고 있다.
• DLL 하이재킹: 윈도우에서 모든 응용 프로그램을 실행하는데 필요한 DLL 파일을 원래의 DLL 파일이 아닌 위조된 DLL 파일로 바꿔치기 해 해당 응용 프로그램을 실행하면 PC가 해킹되거나 바이러스에 감염되게 하는 해킹 방법
브론즈 스트레이트는 HUI 로더를 통해 소다 마스터 RAT를 실행한다. 전문가들은 브론즈 스트레이트가 사용하는 랜섬웨어의 전술, 기법, 절차가 브론즈 리버 사이드의 해킹 공격과 일치한다고 말했다.
CTU 보안 연구원들은 “브론즈 스트레이트는 이미 알려진 보안 취약점과 네트워크 장치의 취약점을 악용해 해킹을 시도한다. 명령 및 제어를 위한 Cobalt Strike Beacon를 해독하고 실행하기 위해 HUI 로더를 배포한다. 그런 다음 랜섬웨어를 설치하게 해 시스템으로부터 민감한 데이터를 탈취한다”라고 설명했다.
한편, 마이크로소프트는 브론즈 스트레이트를 DEV-0401로 정의하고 계속 추적하고 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
