러시아 해커가 솜니아(Somnia)라는 새로운 랜섬웨어를 통해 우크라이나를 공격하고 있다.
우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 러시아 해커가 사용하는 솜니아라는 새로운 랜섬웨어를 발견했다고 밝혔다.
CERT-UA는 이번 공격을 친러시아 핵티비스트 집단인 'From Russia with Love(FRwL, Z-Team, UAC-0118)'의 소행으로 보고 있다. UAC-0118는 우크라이나의 자동화 시스템 및 전자 컴퓨팅 시스템을 공격했다.
CERT-UA의 조사에 따르면, 초기 공격은 Advanced IP Scanner 소프트웨어를 모방했지만 실제로는 Vidar 악성코드가 포함된 파일을 실행한 것으로 나타났다. Vider 악성코드는 텔레그램 내의 정보를 캡처하고 계정을 해킹한다.
해커는 피해자의 텔래그램 계정을 악용해 VPN 구성 데이터(인증 및 인증서)를 훔쳤다. VPN 계정이 2단계 인증으로 보호되지 않는 경우에는 VPN 연결을 통해 대상 네트워크에 침입했다. 이후 Netscan과 같은 도구를 사용해 Cobalt Strike Beacons를 배포했다.
CERT-UA는 솜니아의 배후에 있는 해커가 몸값을 요구하지 않은 정황으로 보아, 네트워크 공격을 목표로 하는 것으로 보고 있다.
CERT-UA에 따르면, 솜니아 랜섬웨어는 계속 진화하고 있으며 악성코드의 첫 번째 버전은 대칭 3DES 알고리즘을 두 번째 버전은 AES 알고리즘을 사용하는 것으로 파악됐다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
