갠드크랩 공격자들, 한 번 감염에 랜섬웨어와 트로이목마 두 개씩
공격 성공률 높이려는 시도...함께 설치되는 베타봇은 ‘스위스 군용 칼’

[보안뉴스 문가용 기자] 갠드크랩 랜섬웨어가 새로운 트로이목마를 데리고 다시 나타났다. 얼마 전 한 위협 단체가 갠드크랩(Gandcrab)과 함께 정보 탈취 멀웨어인 비다르(Vidar)를 같이 활용하고서 1주일이 조금 넘은 시점에 등장한 것이다.


가장 최근에 발견된 갠드크랩은 파워셸을 사용해 1단계 멀웨어를 설치한다. 랜섬웨어이지만 암호화가 진행되는 것은 아직 아니다. 이 1단계 페이로드는 베이스64(Base64)로 엔코딩 된 PE 포맷 파일로, 마이크로소프트 윈도우를 위한 무료 자동화 언어인 오토잇(AutoIt)으로 만들어졌다.

“오토잇으로 만들어진 PE 파일은 또 다른 바이너리를 다운로드 받아 설치하는 역할을 합니다. 이렇게 다층위로 공격을 진행하는 이유는 보다 많은 종류의 OS와 다양한 방어 장치들을 우회하기 위해서입니다. 즉 공격 성공률을 높이기 위한 노력이라고 보면 됩니다.” 보안 업체 체크포인트의 설명이다.

“지금의 갠드크랩은 두 종류의 랜섬웨어와 트로이목마를 다운로드 받아 설치합니다. 그래서 랜섬웨어 공격 프로세스를 점검하고, 중간에 일이 잘못되거나 어떤 것에 의해 막히면 다른 랜섬웨어를 설치해 공격을 다시 시도합니다.”

실제로 체크포인트는 최근 공격자들이 두 가지 버전의 갠드크랩과 베타봇(BetaBot)/뉴버트(Neuvert)와 아조르얼트(AzorUlt)라는 데이터 탈취형 트로이목마를 함께 버무려 두 번째 페이로드로서 활용하는 것을 목격했다고 한다.

“갠드크랩을 두 개 사용한 건 당연히 감염 확률을 높이기 위한 것입니다. 베타봇은 멀웨어 중에서 스위스 군용 칼에 비유되는 것으로, 다목적 공격을 위한 발판이 되어줍니다. C&C에서의 명령에 따라 다양한 모습으로 변할 수 있습니다.”

베타봇은 설치와 함께 여러 번의 확인 절차를 밟는다. 탐지가 되지 않고 제대로 실행되기 위해서다. 그런 후에 다양한 바이너리를 C&C 서버로부터 다운로드 받아 할당된 기능을 수행한다. 보통은 시스템 정보를 모으고, 분석 및 디버깅 툴의 존재유무를 확인하거나 가상 기계 환경을 탐지하는 걸 제일 먼저 한다. 백신이나 방화벽 툴을 확인하기도 한다.

그 다음 베타봇은 로그인 크리덴셜과 금융 정보들을 훔친다. 그래서 다목적 기능을 한 멀웨어이지만 ‘정보 탈취형 트로이목마’로 분류되는 것이다. “그러나 이번 갠드크랩에서 발견된 베타봇이 정보를 탈취하기 위해 사용되었다고 확신하기는 어렵습니다. 공격자들이 갠드크랩 공격이 실패할 때를 생각해서 넣어둔 다목적 예비 장치가 아닐까 합니다.”

한편 아조르얼트 역시 데이터 탈취형 멀웨어로, 암호화폐 지갑과 관련된 정보나 FTP/IM/이메일 클라이언트 등의 크리덴셜을 훔치는 데 능하다. 또한 C&C 서버로부터 명령을 받기 전까지는 가만히 머물러 있으면서 아무런 활동을 하지 않는다.

3줄 요약
1. 작년 최고의 랜섬웨어인 갠드크랩, 최근 기능 업 해서 다시 나타남.
2. 이번 공격에는 랜섬웨어 두 개, 트로이목마 두 개가 함께 설치됨.
3. 공격 성공률 높이고, 만일의 사태 대비해 다른 공격 시도할 수 있게 판을 깐 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>