다중 라이센스 할인 견적
위협 데이터베이스 랜섬웨어 페이아웃 킹 랜섬웨어

페이아웃 킹 랜섬웨어

랜섬웨어년에 Mezo 년까지
번역 :

Payouts King 랜섬웨어는 QEMU를 역방향 SSH 백도어로 활용하는 매우 회피적인 기법을 도입했습니다. 이 접근 방식을 통해 공격자는 감염된 시스템에 숨겨진 가상 머신(VM)을 직접 배포하여 기존 엔드포인트 보안 제어를 효과적으로 우회할 수 있습니다.

오픈 소스 CPU 에뮬레이터이자 가상화 플랫폼인 QEMU는 운영 체제가 호스트 장치에서 가상 머신으로 실행될 수 있도록 합니다. 대부분의 보안 솔루션은 이러한 가상 머신 내부의 활동을 검사할 수 없기 때문에 공격자는 이러한 사각지대를 악용하여 악성 페이로드를 실행하고, 유해한 데이터를 저장하며, SSH 연결을 통해 은밀한 원격 액세스 터널을 구축합니다.

이러한 전술은 완전히 새로운 것은 아닙니다. 3AM 랜섬웨어 그룹, LoudMiner, CRON#TRAP 피싱 캠페인과 같은 그룹과 관련된 공격에서도 QEMU를 악용한 유사한 사례가 관찰되었습니다.

STAC4713 캠페인 내부

보안 연구원들은 QEMU 배포와 관련된 두 가지 주요 공격 캠페인을 확인했으며, 그중 하나는 STAC4713으로 추적되어 2025년 11월에 처음 관찰되었습니다. 이 캠페인은 Payouts King 랜섬웨어 공격과 직접적으로 연관되어 있으며 GOLD ENCOUNTER 그룹의 소행으로 추정됩니다.

GOLD ENCOUNTER는 하이퍼바이저를 표적으로 삼고 VMware 및 ESXi 환경에 암호화 도구를 배포하는 것으로 알려져 있습니다. 이 캠페인에서 공격자는 TPMProfiler라는 예약 작업을 생성하여 SYSTEM 수준 권한으로 숨겨진 QEMU 가상 머신을 실행함으로써 지속성과 은밀성을 확보합니다.

탐지를 피하기 위해 악성 가상 디스크 파일은 정상적인 데이터베이스 및 DLL 파일로 위장됩니다. 또한, 포트 포워딩이 설정되어 역방향 SSH 터널을 통해 감염된 시스템에 은밀하게 접근할 수 있습니다. 배포된 가상 머신은 Alpine Linux 3.22.0을 실행하며 AdaptixC2, Chisel, BusyBox, Rclone 등의 공격자 유틸리티 툴킷을 포함하고 있습니다.

초기 접근 및 활용 경로

공격자들은 대상 환경에 따라 여러 진입점을 이용하여 초기 접근 권한을 획득하는 데 있어 유연성을 보였습니다. 초기 공격 사례에서는 SonicWall VPN 시스템이 노출되었으며, 최근 공격에서는 CVE-2025-26399 취약점을 악용했습니다.

이후 조사에서 추가로 관찰된 침입 방법은 다음과 같습니다.

  • 노출된 Cisco SSL VPN 서비스의 보안 침해
  • 마이크로소프트 팀즈를 이용한 소셜 엔지니어링 공격으로, 공격자는 IT 담당자를 사칭합니다.
  • 퀵 어시스트를 통한 악성 페이로드 전달

이러한 다양한 접근 방식은 기술적 악용과 인간을 표적으로 한 기만 행위가 결합된 형태를 보여줍니다.

침해 후 운영 및 데이터 도난

네트워크에 침투한 공격자는 고급 사후 공격 기법을 사용하여 민감한 데이터를 추출하고 권한을 확대합니다. 이 과정은 일반적으로 VSS(vssuirun.exe)를 사용하여 섀도 복사본을 생성한 다음, SMB 프로토콜을 이용하여 NTDS.dit, SAM 및 SYSTEM 레지스트리 하이브와 같은 중요 시스템 파일을 임시 디렉터리에 복사하는 방식으로 진행됩니다.

후반 단계에서는 ADNotificationManager.exe와 같은 정상적인 바이너리 파일이 악용되어 악성 페이로드, 특히 Havoc C2 구성 요소(vcruntime140_1.dll)가 사이드로드됩니다. 그런 다음 Rclone을 사용하여 탈취한 정보를 원격 SFTP 서버로 전송하여 데이터를 유출합니다.

랜섬웨어 기능 및 암호화 전략

Payouts King 랜섬웨어는 뛰어난 기술적 정교함을 보여줍니다. 탐지를 회피하기 위해 광범위한 난독화 및 분석 방지 기법을 사용하며, 예약된 작업을 통해 지속성을 유지하고 저수준 시스템 호출을 통해 보안 도구를 비활성화합니다.

이 암호화 방식은 AES-256 CTR 모드와 RSA-4096을 결합한 것으로, 대용량 파일의 경우 속도와 보안성을 최적화하기 위해 간헐적 암호화를 적용합니다. 피해자는 랜섬 노트를 통해 다크 웹 유출 사이트로 유도되며, 데이터 유출 위협으로 압박이 가중됩니다.

여러 정황을 종합해 볼 때, 이번 랜섬웨어 공격은 스팸 폭탄 공격, 마이크로소프트 팀즈를 이용한 피싱, 원격 접속 도구 악용 등 유사한 수법을 사용한 점을 근거로 블랙 바스타 그룹의 이전 계열 조직과 연관이 있을 가능성이 높습니다.

주목해야 할 주요 침해 지표

이처럼 진화하는 위협에 대응하기 위해 조직은 다음과 같은 경고 신호를 주시해야 합니다.

  • QEMU의 무단 설치 또는 실행
  • 의심스러운 예약 작업이 시스템 권한으로 실행 중입니다.
  • 비정상적인 SSH 포트 포워딩 활동
  • 비표준 포트를 사용하는 아웃바운드 SSH 터널

이러한 징후를 조기에 감지하면 장기간의 침해 및 데이터 손실 위험을 크게 줄일 수 있습니다.

트렌드

SnappyClient 멀웨어

멀웨어, 원격 관리 도구
SnappyClient는 C++로 작성되었으며 HijackLoader라는 로더를 통해 배포되는 고도로 정교한 악성 프로그램입니다. 이 프로그램은 원격 접속 트로이목마(RAT)처럼 작동하여 사이버 범죄자들이 감염된 시스템을 제어하고 민감한 데이터를 추출할 수 있도록 합니다. 시스템에 침투한 후에는 명령 및 제어(C2) 서버에 연결하여 명령을 수신하고...

Forestrievic.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
안전한 웹 서핑을 위해서는 끊임없는 경계가 필요합니다. 악성 웹사이트는 기만적인 기법을 통해 사용자의 신뢰를 악용하도록 설계되었으며, 점점 더 흔해지는 수법 중 하나는 가짜 CAPTCHA 인증입니다. 이러한 인증 메시지는 방문자에게 로봇이 아님을 확인하기 위해 '허용' 버튼을 클릭하도록 유도합니다. 하지만 실제로는 이 버튼을 클릭하면 해당 사이트가...

웹 앱 보안 이메일 사기

피싱, 스팸
오늘날의 위협 환경에서 이메일은 사이버 공격의 가장 흔한 침투 경로 중 하나입니다. 사용자들은 예상치 못한 메시지, 특히 즉각적인 조치를 촉구하는 메시지에 대해 경계심을 가져야 합니다. 이러한 이메일 중 상당수는 정교하게 제작된 사기이며, 아무리 그럴듯하게 보이더라도 어떠한 합법적인 회사, 조직 또는 단체와도 관련이 없다는 점을 명심해야 합니다. '웹 앱 보안' 이메일 사기 수법 설명 보안 연구원들은 이른바 '웹 애플리케이션 보안' 이메일을 전형적인 피싱 공격으로 지목했습니다. 이러한 메시지는 이메일 서비스 제공업체의 알림을 가장하여 긴급성과 정당성을 거짓으로 각인시키도록 설계되었습니다. 일반적으로 해당 이메일은 수신자의 계정이 메시지 송수신에서 연결이 끊겼다고 알립니다....

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
33,645
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
28,704
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
23,387
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...