MuddyWater 위장 랜섬웨어 공격

이란 정부의 지원을 받는 것으로 알려진 사이버 위협 그룹 MuddyWater(Mango Sandstorm, Seedworm, Static Kitten 등의 가명으로도 알려짐)가 정교한 랜섬웨어 공격과 연루된 것으로 밝혀졌습니다. 조사관들은 이 공격을 위장 공격으로 보고 있습니다. 초기에는 Chaos 랜섬웨어를 사용하는 일반적인 서비스형 랜섬웨어(RaaS) 공격과 유사한 양상을 보였지만, 심층 분석 결과 금전적 갈취를 목적으로 위장한 국가 지원 사이버 공격의 특징이 드러났습니다.

2026년 초에 발견된 이 공격은 마이크로소프트 팀즈를 이용한 소셜 엔지니어링에 크게 의존했습니다. 공격자들은 피해자들과 매우 상호작용적인 소통을 시도하며 화면 공유 기능을 활용해 자격 증명을 탈취하고 다단계 인증 프로세스를 조작했습니다. 접근 권한을 확보한 후, 공격자들은 대규모 파일 암호화와 같은 기존 랜섬웨어 공격 방식을 버리고 데이터 탈취, 은밀한 지속성 확보, 그리고 원격 관리 유틸리티를 통한 장기적인 네트워크 접근 권한 유지에 집중했습니다.

국가 작전을 은폐하는 데 사용되는 사이버 범죄 수법

연구원들은 이번 공격이 머디워터(MuddyWater)가 사이버 범죄 조직에서 흔히 사용되는 도구와 기법을 채택하여 공격 주체를 의도적으로 은폐하려는 시도라고 보고 있습니다. 이 조직은 캐슬랫(CastleRAT)과 츤데레(Tsundere)와 같은 도구를 포함하여 시중에서 구할 수 있는 불법 악성코드와 원격 접속 프레임워크를 점점 더 많이 자신들의 공격에 통합하고 있습니다.

이러한 전술은 스파이 활동과 파괴적인 행위를 랜섬웨어 공격과 결합했던 이전 머디워터(MuddyWater) 캠페인과 일맥상통합니다. 2020년에는 파우굽(PowGoop) 로더를 이용해 타노스(Thanos) 랜섬웨어 변종을 배포하며 이스라엘 주요 기관들을 공격했습니다. 2023년에는 마이크로소프트가 랜섬웨어 공격으로 위장한 사건에서 이 그룹을 다크비트(DarkBit)라는 페르소나와 연관된 DEV-1084와 연관시켰습니다. 2025년 말에는 이란과 연계된 공격자들이 이스라엘 정부 병원을 대상으로 킬린(Qilin) 랜섬웨어를 사용한 것으로 의심받기도 했습니다.

보안 연구원들은 최근 공격이 이란과 연계된 공격자들이 기존 사이버 범죄 인프라를 활용하여 보다 광범위한 지정학적 목표를 추구한 것으로 결론지었습니다. 킬린(Qilin) 사용과 랜섬웨어 관련 생태계 참여는 공격자들에게 작전 은폐, 책임 회피 가능성, 그리고 고도화된 공격 역량에 대한 접근성을 제공하는 동시에 이스라엘의 강화된 방어 감시를 피하는 데 도움이 되었을 것으로 추정됩니다.

Chaos RaaS: 점점 커지는 갈취 생태계

Chaos는 2025년 초, 공격적인 이중 협박 수법으로 악명 높은 서비스형 랜섬웨어(RaaS) 조직으로 등장했습니다. 이 그룹은 RAMP, RehubCom과 같은 사이버 범죄 관련 포럼에서 제휴 프로그램을 홍보하며 빠르게 활동 범위를 확장했습니다.

혼란을 야기하는 공격 캠페인은 일반적으로 이메일 폭주, 음성 피싱, 마이크로소프트 팀즈 사칭 공격을 결합하여 IT 지원 담당자로 가장합니다. 피해자는 마이크로소프트 퀵 어시스트와 같은 원격 액세스 애플리케이션을 설치하도록 유도당하며, 이를 통해 공격자는 기업 환경 내에 발판을 마련한 후 권한을 상승시키고, 시스템 간 이동을 시도하며, 랜섬웨어를 배포합니다.

이 그룹은 점점 더 공격적인 갈취 수법을 사용하고 있는 것으로 나타났습니다.

• 데이터 절도와 몸값 요구를 통한 이중 협박
• 분산 서비스 거부(DDoS) 공격 위협을 포함한 삼중 협박
• 고객, 파트너 또는 경쟁업체에 연락하겠다고 협박하는 등 피해자에 대한 압력을 강화하는 4중 공갈 수법

2026년 3월까지 Chaos는 자사의 정보 유출 플랫폼에서 36개의 피해 조직을 발생시켰으며, 대부분의 조직은 미국에 위치해 있었습니다. 건설, 제조 및 비즈니스 서비스 부문이 가장 집중적으로 공격받은 산업으로 나타났습니다.

침입의 해부학적 구조

조사 대상 침입 사건에서 공격자들은 직원들과 외부 Microsoft Teams 대화를 시작하여 신뢰를 얻고 화면 공유 세션을 유도했습니다. 그런 다음 탈취된 사용자 계정을 이용하여 정찰, 시스템 지속성 확보, 네트워크 측면 이동 및 데이터 유출을 자행했습니다.

공격자들은 피해 시스템에 접속한 상태에서 정찰 명령을 실행하고, VPN 관련 파일에 접근했으며, 사용자들에게 로컬에 생성된 텍스트 문서에 자격 증명을 수동으로 입력하도록 지시했습니다. 여러 사례에서 원격 접속 기능을 강화하기 위해 AnyDesk가 설치되었습니다.

공격자들은 또한 원격 데스크톱 프로토콜(RDP)을 사용하여 curl 유틸리티로 외부 서버 주소 172.86.126.208에서 "ms_upd.exe"라는 실행 파일을 가져왔습니다. 실행된 악성코드는 추가 악성 구성 요소를 배포하고 지속적인 명령 및 제어 통신을 구축하도록 설계된 다단계 감염 과정을 시작했습니다.

이번 캠페인의 배후에는 악성코드 무기고가 숨겨져 있다.

감염 사슬에는 지속성을 유지하고 원격 명령을 실행하기 위해 서로 협력하는 여러 가지 악성코드 구성 요소가 포함되어 있었습니다.

• 'ms_upd.exe'(Stagecomp)는 시스템 정보를 수집하고 명령 및 제어 서버에 연결하여 'game.exe', 'WebView2Loader.dll', 'visualwincomp.txt'를 포함한 보조 페이로드를 다운로드했습니다.
• 'game.exe'(Darkcomp)는 공식 WebView2APISample 프로젝트를 기반으로 하는 합법적인 Microsoft WebView2 애플리케이션으로 위장한 사용자 지정 원격 액세스 트로이목마로 작동했습니다.

• 'WebView2Loader.dll'은 Microsoft Edge WebView2 기능을 위해 필요한 필수 종속 파일입니다.

• 'visualwincomp.txt' 파일에는 RAT가 명령 및 제어 인프라를 식별하는 데 사용하는 암호화된 구성 데이터가 포함되어 있었습니다.

일단 활성화되면, 원격 접속 트로이목마는 60초마다 명령 서버와 지속적으로 통신하여 공격자가 PowerShell 스크립트를 실행하고, 시스템 명령을 실행하고, 파일을 조작하고, 대화형 명령줄 세션을 생성할 수 있도록 합니다.

이번 작전과 머디워터(MuddyWater)를 연결하는 증거

'ms_upd.exe' 악성코드 샘플에 서명하는 데 사용된 '도널드 게이'와 관련된 코드 서명 인증서가 발견되면서 머디워터(MuddyWater) 소행이라는 증거가 더욱 강화되었습니다. 동일한 인증서는 이전에도 페이크셋(Fakeset)으로 알려진 캐슬로더(CastleLoader) 다운로더 변종을 포함한 머디워터 악성코드와 연관된 바 있습니다.

연구진은 이번 작전이 국가 지원 간첩 활동과 사이버 범죄 조직의 작전 방식 간에 상당한 유사성을 보여준다고 지적했습니다. 랜섬웨어 브랜드화, 금전적 갈취 협상, 그리고 시중에서 구할 수 있는 악성코드 프레임워크의 통합은 공격 주체 파악을 어렵게 하고, 방어팀의 관심을 원격 접속 도구를 통해 구축된 장기적인 지속성 메커니즘보다는 즉각적인 몸값 요구 대응 활동에 집중시키도록 유도했습니다.

왜 그 공격이 두드러졌을까?

이번 캠페인에서 가장 특이한 점 중 하나는 카오스 랜섬웨어의 흔적이 사용되었음에도 불구하고 파일 암호화가 광범위하게 이루어지지 않았다는 것입니다. 이러한 랜섬웨어의 일반적인 동작 방식과의 차이는 랜섬웨어 구성 요소가 주된 임무 목표라기보다는 위장 또는 작전상의 기만 수단으로 기능했음을 강력하게 시사합니다.

이번 캠페인은 이란의 위협 행위자들이 국가 주도 작전에 사이버 범죄 도구를 통합하는 추세가 증가하고 있음을 보여줍니다. MuddyWater와 같은 그룹은 기존의 지하 인프라와 악성코드 생태계를 활용하여 작전 유연성을 높이고, 내부 개발 비용을 절감하며, 방어자와 정보 분석가 모두의 공격 주체 파악을 크게 어렵게 만듭니다.