이원영 기자
우크라이나 정부 관련 기관을 집중적으로 노리고 파괴적인 공작을 하는 멀웨어 조작 증거를 마이크로소프트 MSTIC(Microsoft Threat Intelligence Center)가 특정했다. MSTIC가 DEV-0586으로 명명한 이 공격은 PC 내 파일을 암호화하고 인질로 잡아 복호용 키와 교환해 몸값을 요구하는 랜섬웨어와 같은 움직임을 위장하면서 실제로는 몸값을 회수하는 메커니즘을 탑재하지 않고 디바이스를 동작 불능으로 하는 걸 목적으로 하고 있다.
DEV-0586이 처음 검출된 건 2022년 1월 13일이다. MSTIC 조사에 따르면 악성코드는 2종류가 있다. 1종(stage1.exe)은 작업 폴더(C:\PerfLogs, C:\ProgramData, C:\」「C:\temp)에 존재하다가 피해 시스템 마스터 부트 레코드 MBR을 몸값 메모로 덮어 쓴다. 메모 내용은 랜섬웨어 공격으로 잘 알려진 HDD를 되살리고 싶다면 비트코인을 지불할 필요가 있다는 것이다.
하지만 랜섬웨어라면 보통 복호하기 위한 키를 보내기 때문에 몸값을 지불하라고 요구하기 위해 파일 내용을 암호화한다. 그런데 DEV-0586은 랜섬웨어로 위장한 멀웨어로 회복 수단 여지없이 MBR을 덮어 쓴다는 것. 몸값 메모 내용도 랜섬웨어라면 피해자로부터 연락을 받을 수 있도록 포럼이나 이메일을 포함한 복수 연락 수단이 준비되어 있다. 하지만 DEV-0586은 암호 통신 프로토콜 톡스(Tox) 아이디만 있거나 복호용 키에 묶기 위한 커스텀 ID가 준비되어 있지 않거나 이와 같은 형식을 취하고 있을 뿐이라고 한다.
또 다른 파일(stage2.exe)은 악성 파일 파괴 멀웨어 다운로드다. 이 파일은 런타임에 디스코드에서 호스팅되는 다음 단계 멀웨어를 다운로드하고 시스템 특정 폴더 특정 확장자를 찾은 다음 파일 모든 내용을 덮어 써서 임의 4바이트 확장자로 바꾼다.
MSTIC에 따르면 이 악성코드가 마이크로소프트 제품이나 서비스 취약성을 이용하고 있는 징후는 없다고 한다. 또 보도에 따르면 우크라이나 고위 관료에 따르면 이 공격은 벨로루시 첩보기관과 관련 그룹 작업이라고 한다. 벨로루시는 친러시아 동맹국으로 악성코드는 러시아 첩보 기관과 관련한 그룹이 사용한 것과 같은 것이라고 한다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
