FBI와 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)이 지난 4년간 70여 개국에 있는 조직을 상대로 사이버 공격을 감행한 중국의 랜섬웨어 그룹 고스트(Ghost) 활동에 대해 공동 권고문을 발표했다.

고스트 그룹은 2021년 초 활동을 개시했으나 최근까지도 공격 사례가 확인됐다. 공격자들은 랜섬웨어 페이로드, 랜섬 텍스트, 암호화된 파일 확장자와 랜섬웨어에 사용되는 이메일 주소를 정기적으로 변경하는 것으로 보인다. 이로 인해 해당 공격 집단은 수년간 고스트를 비롯해 크링(Cring), 크립트3r(Crypt3r), 팬텀(Phantom), 스트라이크(Strike), 헬로(Hello), 윅크미(Wickrme), 에이치에스하라드(HsHarad), 랩처(Rapture) 등 다양한 명칭으로 불렸다.

해당 그룹은 인터넷에 노출된 채 패치되지 않은 웹 애플리케이션, 서버, 하드웨어 기기의 알려진 취약점을 악용해 네트워크에 접근했다. 피해 조직에는 주요 인프라, 학교와 대학, 의료기관, 정부 네트워크, 종교기관, 기술·제조기업, 다수의 중소기업이 포함된다.

고스트가 노린 취약점에는 포티넷 포티OS(FortiOS) SSL VPN 포털의 경로 탐색 취약점(CVE-2018-13379), 어도비 콜드퓨전(ColdFusion)을 실행하는 서버의 디렉토리 탐색 및 XML 삽입 결함(CVE-2010-2861 및 CVE-2009-3960), 마이크로소프트 셰어포인트의 원격 코드 실행 취약점(CVE-2019-0604)과 익스체인지의 프록시셸 원격 코드 실행 공격 체인(CVE-2021-34473, CVE-2021-34523, 및 CVE-2021-31207)이 포함된다.

고스트, 웹 셸과 코발트 스트라이크 사용

공격에 성공한 후 공격자들은 감염된 서버에 웹 셸(백도어 스크립트)을 설치하고, 이를 사용해 추가 페이로드를 배포하는 윈도우 명령 프롬프트와 파워셸 스크립트를 실행한다.

이 공격 집단이 선호하는 도구는 최근 몇 년 동안 많은 사이버 범죄자들이 악용해 온 상용 침투 테스트 툴킷의 임플란트인 코발트 스트라이크 비콘(Cobalt Strike Beacon)이라고 알려졌다. 코발트 스트라이크는 클라이언트-서버 아키텍처를 사용하는데, 여기서 비콘 또는 클라이언트가 공격자가 운영하는 팀 서버와 통신한다.

코발트 스트라이크는 시스템 권한으로 실행되는 프로세스 토큰을 탈취해 권한 상승, 윈도우 비밀번호 해시 덤프, 도메인 계정 발견, 팀 서버로 데이터 유출 등 다양한 기능을 갖춘 강력한 트로이 목마다.

코발트 스트라이크 외에도 공격자들은 네트워크 탐색과 횡적 이동을 수행하기 위해 다양한 오픈소스 도구를 사용한다. 여기에는 몸값 협상 서버를 은폐하기 위한 오픈소스 프록시인 IOX, 네트워크 공유를 탐지하는 도구 SharpShares.exe, 윈도우 도메인 컨트롤러에 대한 제로 로그온(Zero Logon, CVE-2020-1472) 취약점을 악용하는 SharpZeroLogon.exe, CVE-2014-1812 취약점을 악용하는 SharpGPPPass.exe, NBT.exe라는 NetBIOS 스캐너, 권한 상승 도구인 BadPotato.exe, 윈도우 SMB 취약점을 스캔하고 악용하는 레이든 911(Ladon 911), 미미카츠(Mimikatz) 자격 증명 덤프 도구 등이 포함된다.

CISA는 권고문에서 “일반적으로 고스트는 피해 네트워크에 며칠만 머무르기 때문에 지속성 확보에 주력하지는 않는다. 여러 사례에서 그들은 초기 감염 후 같은 날 랜섬웨어를 배포하는 것으로 관찰됐다”라고 설명했다.

데이터 유출보다는 암호화에 집중

고스트 공격자들은 때때로 데이터를 코발트 스트라이크 팀 서버나 메가(Mega.nz) 파일 공유 서비스로 유출하지만 유출되는 정보의 양은 제한적이다.

FBI 조사에 의하면, 고스트 그룹은 다른 랜섬웨어 그룹과는 다르게 지식 재산이나 개인 식별 정보를 정기적으로 유출하지는 않는 것으도 드러났다. 이중 갈취 전략을 사용하지 않는다는 사실은 고스트가 피해 조직의 네트워크에 장기적으로 머무르며 멀웨어 지속성 메커니즘을 설정하지 않는 이유를 설명한다.

데이터 암호화와 관련해 고스트 그룹은 Cring.exe, Ghost.exe, ElysiumO.exe, Locker.exe 등 여러 랜섬웨어 실행 파일을 활용한다. 이들 파일은 유사한 기능을 제공하며, 실행 시 명령줄 인수(command line arguments)를 통해 제어된다.

파일 암호화 외에도, 고스트 랜섬웨어는 윈도우 이벤트 로그를 삭제하고, 파일 복원을 가능하게 하는 VSS 복사본을 제거하며, VSS 서비스를 비활성화한다. 또한 공격자들은 시스템에서 실행 중인 안티 바이러스 소프트웨어를 스캔해 비활성화하는 것으로 확인됐다.

이런 랜섬웨어 공격 집단이 사용하는 암호화 알고리즘은 강력하며, 공격자가 보유한 암호 해독키 없이는 암호화된 데이터를 복구할 수 없다. 다만 고스트 공격자들은 네트워크상의 많은 기기를 손상시키기 위해 시간을 소비하지는 않기 때문에 피해 조직마다 그 영향이 다르게 나타난다.

CISA는 “고스트 공격자는 적절한 네트워크 분할 등으로 다른 기기로의 횡적 이동을 방지하는 강화된 시스템에 맞닥뜨리면 다른 대상으로 이동하는 경향이 있다”라고 설명했다.

FBI, CISA, MS-ISAC의 공동 권고문에는 도메인 이름, 파일 해시, 이메일 주소, 마이터어택 TTP를 포함한 침해 지표와 조직이 고스트 공격과 랜섬웨어로부터 스스로를 보호하기 위한 보안 권장 사항이 포함돼 있다.
dl-itworldkorea@foundryco.com