한 사이버보안 기업이 INC 랜섬웨어 그룹의 탈취 데이터가 보관된 클라우드 스토리지 인프라를 찾아냈다. 이로 인해 공격을 받은 미국 기업 12곳이 암호화된 데이터를 복구할 수 있었다.
보안 기업 사이버센타우르스의 연구진은 지난 22일 INC 그룹의 운영 보안상 허점을 포착해 활용했다고 밝혔다. 해당 보고서에 따르면, 연구진은 INC 그룹이 피해 기업의 데이터를 암호화하고 외부로 유출하는 데 사용하는 합법적인 오픈소스 백업 유틸리티인 레스틱(Restic)에서 남은 아티팩트를 발견했다. INC 그룹이 레스틱 기반 인프라를 반복적으로 재사용해 왔다는 점에 주목한 결과, 탈취한 데이터를 저장해 둔 특정 클라우드 스토리지 업체를 찾아낼 수 있었다.
다만 사이버센타우르스의 관리 책임자인 앤드루 본 라민 맵은 이번 대응이 INC 그룹에 큰 타격을 줬다기보다는 불편함을 주는 수준에 그쳤을 가능성이 크다고 평가했다. 필요할 경우 비교적 쉽게 새로운 클라우드 인프라를 임대할 수 있기 때문이다.
하지만 그는 이번 대응 과정에서 CSO와 정보보안 리더가 참고할 만한 교훈이 분명히 드러났다고 설명했다.
- 백업을 면밀히 검토해야 한다. 정기적인 백업 스케줄을 운영하고 있다면, 그 과정에서 예상치 못하거나 설명되지 않는 활동이 있는지 확인해야 한다. 본 라민 맵은 범죄 조직이 자신의 행위를 숨기기 위해 기업의 외부 백업 시점에 맞춰 데이터 유출을 진행하는 사례가 있다고 언급했다.
- 암호화된 데이터가 내부 환경을 벗어나 어디로 이동하는지 모니터링해야 한다. 해당 데이터가 예상하지 못한 IP 주소로 향하고 있는지 점검해야 한다.
- 패치가 공개되는 즉시 백업 소프트웨어와 서버를 업데이트해야 한다. 공격자는 백업 애플리케이션을 포함해 패치되지 않은 모든 종류의 소프트웨어를 악용한다.
본 라민 맵은 실제로 매우 소수의 정보보안 리더만이 자사에서 사용하는 백업 소프트웨어가 공격에 활용될 수 있다는 사실을 인지하고 있다고 설명했다.
트렌드마이크로에 따르면 INC 그룹은 2023년 7월 처음 등장했다. 5개월 뒤에는 해당 그룹의 리눅스용 랜섬웨어 바이너리 파일이 확인됐다. 초기 활동 시기에는 시트릭스 넷스케일러 ADC(Citrix Netscaler ADC)와 넷스케일러 게이트웨이(Netscaler Gateway)의 취약점을 악용하는 전술이 일반적으로 사용됐다. 체크포인트 소프트웨어 연구진은 INC 그룹이 사용자 자격 증명을 탈취하기 위해 스피어 피싱 캠페인도 활용하고 있다고 분석했다. 사이버센타우르스에 따르면 네트워크 규모가 작거나 구조가 단순한 환경에서는 INC 그룹 운영자가 암호화 이전 단계에서 데이터 유출을 위해 레스틱을 자주 사용하고, 규모가 크거나 복잡한 환경에서는 이미 구축돼 있는 빔(Veeam)와 같은 백업 인프라를 선호해 왔다.
사이버센타우르스는 한 미국 고객사의 엔드포인트 탐지 및 대응 소프트웨어가 SQL 서버에서 랜섬웨어를 탐지하면서 대응에 투입됐다. 해당 프로세스는 신속하게 격리됐고, 분석 결과 레인INC(RainINC) 변종으로 확인됐다.
그러나 추가 분석 과정에서 여러 시스템에 레스틱의 흔적이 남아있는 것이 발견됐다. 여기에는 이름이 변경된 바이너리 파일, S3 방식의 클라우드 버킷 인프라에서 레스틱 실행을 준비하는 파워셸(PowerShell) 스크립트, 저장소 설정 변수, 파일 목록 기반 백업 명령 등이 포함돼 있었다.
이번 공격에서는 레스틱이 실제 데이터 유출에 사용되지는 않았지만, 사이버센타우르스는 다른 사고 사례에서 확인된 패턴을 근거로 INC 그룹이 이를 상시적으로 활용하고 있다고 판단했다. 또한 기업 피해자와의 협상 절차가 끝나거나 몸값이 지급된 이후에도, 공격자가 사용한 인프라는 해체되지 않았을 가능성이 크다고 봤다.
이 같은 판단을 바탕으로 사고 대응팀은 탈취된 데이터가 저장됐을 가능성이 있는 S3 방식의 클라우드 버킷 인프라를 식별하기 위한 맞춤형 열거 스크립트를 개발했다. 이 스크립트는 과거에 관찰된 레스틱 아티팩트의 후보 저장소 식별자 목록을 하나씩 대조하도록 설계됐다. 연구진은 각 저장소 식별자에 대해 저장소 엔드포인트와 암호화 비밀번호 등 위협 행위자가 사용한 구성 방식에 맞춰 환경 변수를 설정한 뒤, 레스틱에서 사용 가능한 스냅샷 목록을 구조화된 형식으로 출력하도록 했다. 이를 통해 실제 데이터에 직접 접근하지 않고도 분석을 진행할 수 있었다.
사이버센타우르스는 해당 스크립트가 의심되는 저장소를 변경하거나 파괴적인 행위로 해석될 수 있는 모든 작업을 명확히 배제하도록 설계됐다면서, 수행한 작업이 침입이 아니라 포렌식 열거 작업이었다고 강조했다.
보고서는 “공격자가 사용하던 도구와 설정 방식을 그대로 활용해 저장소에 접근했으며, 취약점 악용이나 수정, 서비스 중단은 전혀 없었다”라고 설명했다. 연구진은 공격자의 인프라를 공격 대상이 아닌 증거 자료로 취급함으로써, 여러 피해자를 대상으로 한 지속적인 저장소 사용 가설을 안전하게 검증할 수 있었고, 이후 대규모 데이터 복구로 이어지는 토대를 마련할 수 있었다고 전했다.
이 과정에서 확인된 것은 서로 연관되지 않은 12개 기업에서 탈취된 데이터 세트였다. 이들 기업은 각각 별도의 INC 랜섬웨어 공격을 받은 피해자였다. 데이터는 암호화된 상태였지만, 암호화에 사용된 수단이 레스틱이었기 때문에 사이버센타우르스는 동일한 도구를 활용해 복호화를 진행할 수 있었다. 이후 탈취된 데이터의 출처를 확인하기 위해 법 집행 기관과 접촉했다.
보고서에는 INC 그룹이 사용한 침해 지표와 도구도 언급됐다. 여기에는 원격 접속 애플리케이션인 애니데스크(AnyDesk)도 있었다.
보고서는 레스틱을 악용하는 위협 행위자가 의심을 피하기 위해 바이너리 파일 이름을 변경하는 경우가 많다고 지적했다. 예를 들어 ‘winupdate.exe’와 같은 이름으로 위장하고, 정상적인 실행 경로를 활용하는 방식이다. 이에 대한 효과적인 탐지 방법으로는 정상적인 백업 과정과 무관한 환경에서 레스틱이 실행되는지 여부를 확인하는 방식이 제시됐다. 특히 시스템 디렉터리나 사용자 쓰기 가능 위치에서 실행되는 경우를 주의 깊게 살피고, 가능한 경우 알려진 해시 값과 함께 분석할 필요가 있다고 조언했다.
엑스필 사이버(XFIL Cyber)의 총괄이자 랜섬웨어 공격 전문가인 존 디마지오는 이번 조사에서 12개 기업의 탈취 데이터가 복구됐다는 사실만이 주목할 점은 아니라고 평가했다. 그는 “대부분의 랜섬웨어 사고가 암호화를 차단하고 시스템을 복구하면 종결되지만, 이번 사례는 공격자의 운영 패턴을 추적해 그들이 남긴 흔적을 찾아내는 데 더 큰 가치가 있음을 보여준다”라며, “랜섬웨어는 일회성 공격이 아니라 하나의 비즈니스 모델이며, 그렇기 때문에 이를 대규모로 교란할 기회가 존재한다”라고 분석했다.
그러나 사이버센타우르스는 방어자가 INC 그룹에서 드러난 것과 같은 허점을 기대해 공격에서 벗어나려 해서는 안 된다고 지적했다. 연구진은 “이번 사례는 일반적인 랜섬웨어 대응 과정에서는 좀처럼 나타나지 않는 기회였다”라고 설명했다. 다만 공격자가 실수를 저지를 경우, 방어자가 이를 활용할 여지는 있을 수 있다고 덧붙였다.
또한 본 라민 맵은 랜섬웨어 공격 위험을 낮추는 일이 결코 쉽지 않다고 경고했다. 공격자는 방어자가 사용하는 모든 전술에 맞춰 대응 전략을 바꾸기 때문에, 피해 기업이 몸값 지불을 거부해 랜섬웨어 조직의 금전 보상을 차단하는 것도 도움이 될 수 있다고 그는 언급했다.
그는 “여러 기업에 서버와 네트워크 공유 자산의 읽기·쓰기 작업량에 대한 기준선을 마련해야 한다고 조언한다. 랜섬웨어가 배포되기 시작하면 이러한 작업 횟수가 급격히 증가하는 현상이 나타나기 때문에, 이를 통해 이상 징후를 조기에 포착할 수 있다”라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 백업 도구 흔적이 단서였다···랜섬웨어 피해 기업 12곳 데이터 복원 성공
Source: News