Charon Ransomware

사이버 보안 전문가들은 이전에 알려지지 않았던 '카론(Charon)'이라는 변종을 활용한 새로운 랜섬웨어 캠페인을 발견했습니다. 이 캠페인은 중동의 공공 부문과 항공 산업을 특별히 노리고 있습니다. 이 작전은 고도의 정교함을 보여주며, 특히 지능형 지속 위협(APT) 공격자들이 주로 사용하는 전술을 사용합니다.

APT 플레이북에서 전술 차용

공격자들은 DLL 사이드 로딩, 프로세스 주입, 그리고 엔드포인트 탐지 및 대응(EDR) 도구를 우회하기 위한 우회 기법 등 첨단 기법을 사용했습니다. 특히, DLL 사이드 로딩 방식은 대만과 아시아 태평양 지역의 정부 기관을 표적으로 삼는 것으로 알려진 중국 연계 해킹 그룹인 Earth Baxia의 공격 방식과 유사합니다.

과거 사건에서 Earth Baxia는 OSGeo GeoServer GeoTools의 패치된 취약점을 악용하여 EAGLEDOOR라는 백도어를 유포했습니다. Charon 사건의 경우, 공격자는 합법적인 파일인 Edge.exe(원래는 cookie_exporter.exe)를 사용하여 SWORDLDR이라는 악성 msedge.dll을 로드했고, 이 DLL이 Charon 랜섬웨어 페이로드를 배포했습니다.

Charon 랜섬웨어의 기능

일단 배포되면 Charon은 다른 파괴적인 랜섬웨어 변종과 마찬가지로 작동하지만, 파괴적이면서도 효율적인 최적화를 통해 다음과 같은 기능을 제공합니다.

• 보안 관련 서비스와 활성 프로세스를 종료합니다.
• 복구를 방해하려면 백업과 섀도 복사본을 삭제하세요.
• 더 빠른 파일 잠금을 위해 멀티스레딩과 부분 암호화를 사용합니다.

또 다른 흥미로운 기능은 오픈소스 Dark-Kill 프로젝트에서 컴파일된 드라이버를 통합했다는 점입니다. 이를 통해 취약한 드라이버를 직접 사용하는(BYOVD) 공격으로 EDR 도구를 무력화할 수 있습니다. 그러나 연구원들은 이 기능이 아직 활성화되지 않았으며, 이는 아직 개발 중임을 시사합니다.

표적 작전의 징후

수사관들은 이 공격이 기회주의적이기보다는 의도적인 것으로 추정합니다. 이러한 결론은 피해자 조직의 이름이 명시된 랜섬웨어 메시지의 존재에 근거하는데, 이는 일반적인 랜섬웨어 사건에서는 드문 일입니다. 초기 접근 방법은 아직 알려지지 않았습니다.

불확실한 귀속

카론의 기술은 지구 벡시아의 작전과 유사하지만 전문가들은 이러한 중복이 다음을 나타낼 수 있다고 경고합니다.

• 지구 벡시아의 직접적인 참여.

• 지구 벡시아를 모방하기 위해 고안된 거짓 깃발 작전.

• 비슷한 전략을 독립적으로 개발하는 새로운 그룹.

공유된 인프라나 일관된 타겟팅 패턴과 같은 명확한 증거가 없다면 이러한 연관성은 추측에 불과합니다.

사이버 범죄와 국가 전략의 융합 증가

이 사건은 우려스러운 추세를 여실히 보여줍니다. 랜섬웨어 조직들이 침투 및 회피를 위해 APT급 수법을 점점 더 많이 도입하고 있다는 것입니다. 은밀한 공격 기법과 랜섬웨어 암호화로 인한 즉각적인 재정적, 운영적 피해가 결합되면서 표적 조직의 위험은 크게 증가합니다.