마우이 랜섬웨어, 북 해커 Andariel APT와 관련 있어
상태바
마우이 랜섬웨어, 북 해커 Andariel APT와 관련 있어
  • 곽중희 기자
  • 승인 2022.08.10 09:58
  • 댓글 0
이 기사를 공유합니다

건강 기록, 영상, 인트라넷 서비스 등 제공 서버 암호화해

 

보안 기업 카스퍼스키의 사이버 보안 연구팀이 마우이 랜섬웨어가 북한 해커 조직 Andariel APT 와 연관이 있다는 사실을 발견했다.

카스퍼스키 연구팀에 따르면, 마우이 랜섬웨어는 북한의 라자루스 APT 조직의 사업부로 간주되는 Andariel APT와 연관이 있다. 이들은 마우이 랜섬웨어를 통해 건강 기록 서비스, 진단 서비스, 영상 서비스, 인트라넷 서비스를 포함한 의료 서비스를 제공하는 서버를 암호화하고 있다.

연구팀은 Andariel APT가 공격 대상에 마우이 랜섬웨어를 배포하기 약 10시간 전 DTrack 멀웨어의 변종을 배포한 것을 발견했다. 두 악성 코드 모두 Andariel APT의 공격으로 파악됐다.

또한 일본, 러시아, 인도, 베트남 기업에 대한 공격에 사용된 DTrack 변종이 Andariel APT에 기인한 사이버 스파이 공격에 사용된 랜섬쉐어와 84%의 코드 유사성을 가지고 있음을 발견했다. 아울러 마우이 랜섬웨어가 과거 Andariel/Stonefly/Silent Chollima의 공격과 매우 유사하다는 점도 발견했다.

연구팀에 따르면, Andariel APT는 재정 상태가 양호하고 인터넷에 노출된 웹 서비스가 취약한 전 세계의 모든 기업을 표적으로 삼는다.

마우이 랜섬웨어는 초기 감염 후 합법적인 프록시 및 터널링 도구를 사용하거나 접근을 유지하기 위해 Powershell 스크립트와 Bitsadmin을 사용해 추가 멀웨어를 다운로드하게 한다. WebLogic, HFS와 같이 알려져 있지만 패치되지 않은 취약한 공공 서비스를 대상으로 익스플로잇을 사용해, Preft라고 불리는 DTrack을 배포한다.

한편, 2020년 4월 미 국무부, 재무부, 국토안보부, 연방수사국(FBI)은 북한의 해커들이 가하는 중대한 사이버 위협에 대해 경고 하는 공동 권고를 발표했다.

당시 미국은 북한 해커들의 활동에 대한 정보를 제공할 수 있는 사람에게 최대 500만 달러의 보상을 제공한다고 밝혔다. 또한 7월에는 포상금을 1000만 달러로 인상하기도 했다.

Andariel APT는 최소 2015년부터 활동했으며, 북한 정부가 가하는 여러 공격과 연루된 것으로 알려졌다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.