요약 : 보안 블로그 시큐리티어페어즈에 의하면 랜섬허브(RansomHub) 갱단이 보안 업체 카스퍼스키(Kaspersky)의 보안 도구 중 하나를 악용하고 있다는 사실이 드러났다고 한다. 문제의 도구는 TDS킬러(TDSKiller)라는 것으로, 이를 통해 엔드포인트 보호 시스템(EDR)을 비활성화시킴으로써 방어막을 편리하게 우회할 수 있게 된다고 보안 업체 멀웨어바이츠(Malwarebytes)가 발표했다. TDS킬러는 룻키트를 제거하는 데 사용되는 정상적인 보안 도구다. 룻키트를 제거하는 것에 더해 EDR 기능들을 잠시 비활성화시키는 기능도 가지고 있다.


배경 : 다른 사이버 공격 단체들 중에서도 TDS킬러를 사용한 사례들이 존재한다. 하지만 랜섬허브가 TDS킬러를 활용했다는 소식은 여태까지 한 번도 없었다. 랜섬허브가 비교적 새롭게 활동을 시작한 단체인 만큼 여러 가지 전략과 전술을 활용하는 것으로 보인다. 랜섬허브를 나이트(Knight)라는 이전 랜섬웨어의 후신으로 보는 견해도 존재한다.

말말말 : “과거에는 록빗(LockBit)이라는 랜섬웨어 그룹도 TDS킬러를 활용했던 적이 있습니다. 정상적인 도구를 악의적 목적에 맞게 활용하는 사례들이 점점 늘어나고 있고, 그러면서 ‘LOTL’이라고 불리는 유형의 공격이 증가하고 있기도 합니다.” -시큐리티어페어즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>