다중 라이센스 할인 견적
위협 데이터베이스 랜섬웨어 오시리스 랜섬웨어 패밀리

오시리스 랜섬웨어 패밀리

랜섬웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

사이버 보안 연구원들은 2025년 11월 동남아시아의 주요 외식 프랜차이즈 업체를 공격한 사건 이후, 이전에 보고되지 않았던 '오시리스(Osiris)'라는 이름의 랜섬웨어 계열을 발견했습니다. 분석 결과, 이는 새롭게 개발된 랜섬웨어 변종으로, 2016년 12월에 발견된 '록키(Locky)'에서 파생된 '오시리스' 변종과는 관련이 없는 것으로 나타났습니다. 개발자의 신원은 아직 밝혀지지 않았으며, 해당 악성코드가 서비스형 랜섬웨어(RaaS) 형태로 제공되는지는 확인되지 않았습니다.

공격 연쇄 및 초기 침해

피해 네트워크에서 확인된 가장 초기의 악성 활동은 랜섬웨어 배포 이전에 민감한 데이터를 유출한 것이었습니다. 공격자들은 Rclone을 사용하여 Wasabi에 호스팅된 클라우드 스토리지 버킷으로 정보를 전송했습니다. 이후 단계적으로 도구를 도입하여 제어권을 확보하고, 네트워크 측면으로 이동하며, 암호화를 위한 환경을 준비했습니다.

다양한 자급자족형 및 이중 용도 유틸리티를 활용하고 원격 관리 구성 요소를 도입하여 일반적인 행정 활동에 자연스럽게 녹아들고 조기 발견을 최소화했습니다.

INC 랜섬웨어 공격과의 연관성이 의심됩니다.

여러 지표는 이전에 INC 랜섬웨어(일명 Warble)와 연관된 공격자들과의 중복 가능성을 시사합니다. 특히 공격자들은 이전 INC 관련 사건에서 발견된 것과 동일한 파일명(kaz.exe)을 가진 Mimikatz 변종을 사용했습니다. 또한, 데이터 유출 인프라와 공격 기법은 이전에 해당 랜섬웨어 생태계에서 사용되었던 기법과 매우 유사하지만, 아직 확정적인 공격자로 지목되지는 않았습니다.

POORTRY 운전자와 BYOVD 전술

이번 침입의 핵심 특징은 엔드포인트 보안을 무력화하기 위해 BYOVD(Bring Your Own Virtue, 취약한 드라이버를 사용하는 공격) 방식의 공격에 사용된 POORTRY라는 악성 드라이버를 배포한 것입니다. 합법적이지만 결함이 있는 드라이버를 사용하는 기존의 BYOVD 공격과는 달리, POORTRY는 권한을 상승시키고 보안 도구를 종료하도록 특별히 설계된 맞춤형 드라이버입니다.

킬AV라는 유틸리티를 사용하여 취약한 드라이버를 로드하고 보호 소프트웨어를 비활성화하는 등 환경을 더욱 준비했습니다. 또한 원격 데스크톱 프로토콜(RDP)을 활성화했는데, 이는 지속적인 대화형 접근을 용이하게 하기 위한 것으로 보입니다.

오시리스 랜섬웨어의 기능

오시리스는 숙련된 위협 행위자들이 운영하는 것으로 추정되는, 정교하고 효과적인 암호화 페이로드로 묘사됩니다. 이 랜섬웨어는 하이브리드 암호화 모델을 구현하고 파일마다 고유한 암호화 키를 생성하여 복구를 매우 어렵게 만듭니다. 또한 광범위한 구성 옵션을 제공하여 운영자가 피해자 환경에 맞게 실행을 세밀하게 조정할 수 있도록 합니다.

주요 기능은 다음과 같습니다.

  • 서비스 중지, 프로세스 종료, 백업 또는 복구 메커니즘 비활성화.
  • 공격 대상 폴더와 파일 확장자를 정의하고, 완료 시 맞춤형 랜섬웨어 메시지를 생성합니다.

기본적으로 Osiris는 생산성 소프트웨어, 이메일 서버, 브라우저, 텍스트 편집기, 볼륨 섀도 복사본 및 Veeam과 같은 엔터프라이즈 백업 플랫폼과 관련된 프로세스 및 서비스를 적극적으로 종료하도록 구성되어 있습니다.

침입을 지원하는 데 사용된 도구

공격자들은 랜섬웨어 자체 외에도 정찰, 횡적 이동, 원격 관리 유틸리티 등 다양한 도구를 활용하여 운영 통제권을 유지했습니다. 침입 과정에서 확인된 도구는 다음과 같습니다.

  • 네트워크 검색 및 실행을 위한 Netscan 및 Netexec.
  • MeshAgent와 지속적인 원격 접속을 위한 Rustdesk 원격 데스크톱 애플리케이션의 맞춤형 빌드입니다.
  • Rclone은 클라우드 스토리지로 데이터를 자동으로 유출하는 도구입니다.

진화하는 갈취 양상에 대한 시사점

암호화 랜섬웨어는 여전히 기업에 상당한 위협을 가하고 있지만, 이번 사건은 다면적인 협박 캠페인으로의 광범위한 진화를 보여줍니다. 데이터 탈취에 대한 강조 증가, 악성 드라이버를 통한 방어 회피, 그리고 암호화를 사용하지 않거나 하이브리드 공격의 확산은 위협의 지형을 넓히고 있습니다. 결과적으로 랜섬웨어는 더욱 광범위하고 복잡한 협박 생태계의 한 구성 요소일 뿐이며, 이에 걸맞게 적응력 있는 방어 전략이 요구됩니다.

트렌드

Axischainedge.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
웹 서핑을 할 때는 항상 주의를 기울이는 것이 중요합니다. 악성 웹사이트는 사용자의 부주의와 호기심을 악용하도록 설계되었으며, 가짜 CAPTCHA 인증과 같은 기만적인 수법을 사용하여 사용자가 '허용' 버튼을 클릭하도록 유도합니다. 이렇게 하면 사용자는 자신도 모르게 성가신 푸시 알림을 수신하게 됩니다. 이러한 알림을 통해 전달되는 광고는...

MegaETH 회원가입 사기

불량 웹사이트
인터넷을 이용할 때 주의를 기울이는 것은 더 이상 선택 사항이 아니라 필수 사항입니다. 사이버 범죄자들은 사용자를 속이기 위해 끊임없이 새로운 수법을 개발하며, 악성 웹사이트를 합법적인 플랫폼으로 위장하는 경우가 많습니다. 부주의한 클릭 한 번이나 충동적으로 디지털 지갑을 연결하려는 결정 하나로 돌이킬 수 없는 금전적 손실을 입을 수 있습니다. 최근...

웹 스키밍 공격 캠페인

불량 웹사이트
사이버 보안 연구원들이 2022년 1월부터 지속적으로 활동해 온 대규모 웹 스키밍 공격을 발견했습니다. 이 공격은 아메리칸 익스프레스, 다이너스 클럽, 디스커버, JCB, 마스터카드, 유니온페이 등 주요 결제 네트워크를 사용하는 기업들을 표적으로 삼고 있습니다. 특히 이러한 결제 서비스를 온라인 결제 시스템에 통합한 기업들이 가장 높은 위험에 노출된...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
44,184
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
34,072
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,570
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
로드 중...