이란의 위협 행위자가 알바니아 정부 조직을 타깃으로 삼아 공격에 나설 가능성이 있습니다. 관련해 맨디언트가 조사한 내용을 포스팅으로 소개 합니다. 전체 내용을 요약하면 다음과 같습니다.

• 맨디언트는 2022년 7월 말 이란 야당의 회의를 앞두고 있는 시점에 알바니아 정부를 표적으로 삼은 ROADSWEEP 랜섬웨어 패밀리와 텔레그램을 활용하는 페르소나를 확인했습니다.
• 알려지지 않은 백도어 CHIMNEYSWEEP 및 ZEROCLEAR 와이퍼의 새로운 변종과 관련되었을 수 있습니다.
• CHIMNEYSWEEP 맬웨어 배포 데이터와 미끼로 사용한 컨텐츠, 작전을 펼친 시기, 정치적인 내용을 담은 컨텐츠, ZEROCLEAR 와이퍼 개입 가능성을 볼 때 이란의 위협 행위자를 배후로 지목할 수 있습니다.
• 이번 위협 활동은 다른 NATO 회원국의 공공 및 민간 조직에 위협이 됩니다.
• 관련 Yara 룰 및 MITRE ATT&CK 기술 관련 내용은 부록을 참조 바랍니다(T1007, T1012, T1027, T1033, T1055, T1057, T1070.004, T1070.006, T1082, T1083, T1087, T1112, T1113, T1134, T1489, T1497.001, T1518, T1543.003, T1569.002, and T1622). 

위협 세부 정보

2022년 7월 중순 맨디언트는 ROADSWEEP라는 새로운 랜섬웨어 패밀리를 발견하였습니다. 이 랜섬웨어는 알바니아 정부를 표적으로 삼고 있습니다. 또한, 2022년 7월 18일 'HomeLand Justice'라는 사이트는 알바니아 정부 사이트와 시민을 대상으로 한 공공 서비스에 영향을 끼친 파괴적인 활동이 있었다고 주장하였습니다. 'HomeLand Justice' 사이트는 랜섬웨어 실행을 보여주는 비디오를 올렸습니다. 그리고 미국 국무부가 테러 단체로 지정한 이란 정권에 적대적인 조직인 무자헤딘에할크(MKO, MEK, PMOI)에 몸담고 있는 이들이 알바니아에 거주하는 것을 허가한다는 내용의 정부 문서를 텔레그램 채널을 통해 알렸습니다.

• 2022년 7월 18일 알바니아 정부는 파괴적인 사이버 활동으로 인해 온라인 공공 서비스 및 기타 정부 사이트를 일시 적으로 폐쇄 한다는 내용의 성명을 발표했습니다.
• 2022년 7월 22일 ROADSWEEP 랜섬웨어 샘플이 알바니아 퍼블릭 맬웨어 리포지토리에 올라왔습니다. 이 랜섬웨어가 성공적으로 실행되면 'DURRES 테러리스트의 이익을 위해 우리 세금을 쓰는 이유는 무엇입니까'라는 문구를 띄웁니다. 참고로 DURRES는 알바니아에서 두 번째로 인구가 많은 항구 도시입니다.

2022년 7월 21일 'HomeLand Justice'라는 이름의 사이트는 'homelandjustice.ru' 주소를 활용해 알바니아 정부를 타깃으로 한 랜섬웨어 공격에 대한 뉴스 기사를 게시하였습니다. 더불어 'HomeLand Justice'의 텔레그램 채널 링크도 공개하였습니다. 이 사이트는 알바니아 시민이 운영한다는 것을 암시하고 있습니다. 이 사이트는 램섬웨어 실행 관련 비디오를 올리며 공격이 있었다고 주장하였습니다. 그리고 무자헤딘에할크 단원의 알바니아 거주를 허가한다는 내용을 담은 정부 문서도 게시하였습니다.

• 'homelandjustice.ru' 사이트와 텔레그램 채널 모두 ROADSWEEP에서 사용하는 배경 화면과 배너를 사용합니다. 그리고 램섬 노트에 담긴 정치적 메시지도 같습니다. 또한, 호스트에서 실행된 것으로 의심되는 랜섬웨어 실행 비디오를 게시했습니다.

• 2022년 7월 26일 'HomeLand Justice'는 알바니아 정부에 대한 파괴적인 활동에 대한 뉴스 기사 링크를 게시하였습니다. 그리고 사이버 공격을 주장하는 메시지를 텔레그램에 올렸는데, 여기에는 #MKO #ISIS #Mznez #HomeLandJustice 해시 태그도 포함되어 있습니다. 참고로 Manez는 Durres 카운티에 있는 마을로 7월 23~24일 열리는 자유 이란 세계 정상 회담(World Summit of Free Iran) 회의 장소입니다.

• 'homelandjustice.ru' 사이트와 텔레그램 채널은 모두 알바니아 정부 기관의 것으로 보이는 문서와 함께 거주 허가증, 결혼 증명서, 여권, 무자헤딘에할크 단원 개인의 것으로 보이는 문서를 게시했습니다.

CHIMNEYSWEEP 백도어

맨디언트는 텔레그램 채널과 위협 행위자가 소유한 것으로 보이는 인프라에서 정보화 파일을 수집하였습니다. 그리고 리버스 쉘을 생성하고 키로깅을 지원하는 백도어인 CHIMNEYSWEEP을 추가로 식별하였습니다. CHIMNEYSWEEP은 ROADSWEEP과 코드를 공유합니다. 두 맬웨어는 2012년까지 페르시아어 및 아랍어 사용자를 대상으로 하는 위협에 사용되었을 가능성이 있습니다.

• CHIMNEYSWEEP 및 ROADSWEEP은 동일한 동적 API 확인 코드 등 여러 부분에서 코드가 중복됩니다. 공유 코드에는 런타임에 윈도우 API 함수 문자열을 해독하기 위한 임베디드 RC4 키가 포함되어 있습니다. 일단 복호화되면 LoadLibrary 및 GetProcAddress 함수를 호출합니다. 둘다 동일한 Base64 사용자 지정 알파벳을 공유하며, 하나는 암호 해독 키를 인코딩 하는 데 사용되고 다른 하나는 명령 및 제어(Command & Control, 이하 C2)에 사용됩니다. 참고로 CHIMNEYSWEEP 및 ROADSWEEP 모두 RC4 키 '8c e4 b1 6b 22 b5 88 94 aa 86 c4 21 e8 75 9d f3' 및 사용자 지정 Base64 알파벳 'wxyz0123456789.-JKLMNOPghijtuvQlmnopefq.-JKLMNOPghijklmnopefq'을 사용합니다.
• CHIMNEYSWEEP은 미끼 파일인 워드나 엑셀 문서 또는 비디오 파일에 포함되며 유효한 디지털 인증서를 통해 자동으로 추출됩니다. 이들 문서는 CHIMNEYSWEEP이 실행될 때 자동으로 열리는 것으로는 보이지 않습니다. 미끼로 사용한 문서에는 다음 그림처럼 무자헤딘에할크 지도자(Massound Rajavi)의 사진이 포함되어 있습니다.
• 미끼 문서의 내용으로 미루어보아 2012년에 사용된 CHIMNEYSWEEP이 다시 사용된 것으로 보입니다.

ZEROCLEAR

알바니아 정부를 목표로 한 파괴적 활동을 알리는 게시물이 올라온 지 하루 뒤인 2022년 7월 19일에 한 알바니아 사용자가 ZEROCLEAR 와이퍼 페이로드를 퍼블릭 악성 코드 리포지토리에 제출하였습니다. 이 페이로드는 운영자로부터 명령줄 인수를 받아 RawDisk 드라이버를 사용하는 파일시스템을 손상시킵니다.

ZEROCLEAR 샘플이 이번 위협 행위에 사용 되었는지는 증명할 수 없습니다. 그러나 이 맬웨어는 2020년 경에 중동 지역에서 파괴적인 활동을 지원하기 위해 배포된 것으로 추정합니다. 이와 관련된 위협 행위자로 Iran-nexus이며, 상세 내용은 당시 보고 내용을 참조 바랍니다.

속성

맨디언트는 이번에 식별한 위협 활동을 특정 위협 행위자로 연관지을 증거는 없지만 이란의 이익을 위해 활동 중인 여러 위협 행위자와 관련이 있을 것이란 확신을 갖고 평가를 수행하였습니다. 이는 위협을 가한 타이밍, HomeLand Jusitce 페르소나, 텔레그램 채널을 통해 배포한 무자헤딘에할크 관련 컨텐츠, 페르사이어 및 아랍어 사용자를 대상으로 하는 CHIMNEYSWEEP 맬웨어와의 관련성 등을 고려한 것입니다.

• HomeLand Jusitce의 텔레그램 채널에서 언급된 Durres 카운티의 Manez 시는 2022년 7월 23~24일 일정으로 '자유 이란 세계 정상 회담' 회의를 주최할 예정이었습니다. 그러나 알바니아 언론은 7월 22일 테러리스트 공격 위협으로 인해 회의가 연기되었다고 발표하였습니다.
• 자유 이란 세계 정상 회담은 알바니아 Durres 카운티 Manez 시에서 이란 정부, 특히 무자헤딘에할크 단원에 반대하는 이들이 참여하는 회의입니다.
• 이란 및 친이란 정보 작전(Information Operation)은 위조 문서 등 조작된 자료를 통해 무자헤딘에할크를 표적으로 삼은 적대적인 메시지를 배포하였습니다. 가령 친이란 캠페인인 Roaming Mayfly는 무자헤딘에할크를 다양한 서방 국가가 지원하고 있다는 거짓 주장을 퍼뜨렸습니다.
• 맨디언트는 바레인과 사우디 아라비아 기업을 목표로 삼은 것으로 알려진 Iran-nexus 위협 행위자 관련해 ZEROCLEAR 및 DUSTMAN 와이퍼에 대해 보고한 바 있습니다.

이번 랜섬웨어 공격은 이전의 CHIMNEYSWEEP보다 훨씬 더 복잡합니다. 이런 이유로 여러 팀 간 협업 및 기타 시나리오를 추정해 볼 수 있습니다. 맨디언트는 이 위협 행위 집합체를 계속 조사하고 알아낸 내용을 지속해서 업데이트할 계획입니다.

전망 및 시사점

맨디언트는 UNC7888 같은 사이버 스파이 그룹과 MarkiRAT로 알려진 SCRAPWOOD 같은 맬웨어를 이용한 위협이 이란 반체제 인사와 단체를 표적으로 삼는 것을 자주 보고 있습니다. 또한, Black Shadow 및 Moses Staff 같은 Iran-nexus 페르소나로 의심되는 수 많은 위협은 주로 이스라엘 조직을 당황하게 하려는 활동과 관련되었습니다.

정치적 동기를 배경으로 이란 야당 단체 회의가 열릴 예정이던 주에 NATO 회원국의 정부 사이트와 시민 서비스를 대상으로 한 랜섬웨어를 이용한 파괴적 작전도 진행되었습니다. 이는 Iran-nexus 행위자가 관련된 것으로 보입니다. 이란 핵 문제를 둘러싼 협상이 교착 상태에 빠져 들고 있습니다. 이런 이유로 이란은 앞으로 사이버 공격에 대한 자제력을 잃을 가능성이 있어 보입니다. 이번에 식별한 위협 행위는 NATO 회원국을 대상으로 수행해온 파괴적인 사이버 작전을 알바니아까지 지리적으로 확장한 것이라 할 수 있습니다. 이번 사례를 통해 이란의 이익에 반하는 행동을 하는 국가에 대한 파괴적 활동이 증가하였음을 알 수 있습니다.

부록 A: ROADSWEEP 랜섬웨어

ROADSWEEP은 새로 발견된 랜섬웨어 도구입니다. 이 맬웨어는 실행 시 장치 파일을 열거하고 RC4를 사용해 블록 단위로 컨텐츠를 암호화합니다. 윈도우 API 이름, 악성 코드 설정 파라미터, 랜섬웨어 노트는 ROADSWEEP 내에서 RC4로 암호화됩니다. 실행하는 동안 ROADSWEEP은 암호화도니 문자열을 해독하고 필요한 가져오기를 동적으로 수행합니다.

• GoXml.exe (MD5: bbe983dba3bf319621b447618548b740)
   
  • ROADSWEEP disruptive payload
  • Compiled on 2016/04/30 17:08:19

ROADSWEEP을 올바르게 실행하라면 4개의 명령줄 인수가 필요합니다. 이를 충족하지 못하면 ROADSWEEP는 메시지 상자를 생성하고 실행을 중지합니다. 성공적으로 실행되면 ROADSWEEP는 다음곽 ㅏㅌ은 전역 뮤텍스를 생성합니다. 

• abcdefghijklmnoklmnopqrstuvwxyz01234567890abcdefghijklmnopqrstuvwxyz01234567890

초기화 후 ROADSWEEP은 Windows GetProcAddress API를 사용해 필요한 API를 확인합니다. 함수 이름은 하드코딩 된 키 '8c e4 b1 6b 22 b5 88 94 aa 86 c4 21 e8 75 9d f3'와 함께 RC4를 사용해 암호화됩니다.

ROADSWEEP에는 추가 명령을 실행하거나 피해자의 장치에서 자신을 제거하는 데 사용하는 스크립트가 포함되어 있습니다. 이들 스크립트는 디스크에 기록되지 않습니다. 대신 ROADSWEEP가 새 명령 프롬프트(cmd.exe)를 만든 다음 파이프를 사용해 명령을 프로세스에 보냅니다. 스크립트는 바이너리에 RC4 암호화 블록으로 포함되며 런다임 시 페이로드에 의해 해독됩니다. ROADSWEEP에 의해 해독된 첫 번째 스크립트는 중요한 서비스 및 프로세스를 비활성화합니다. 그리고 SystemRestore 및 볼륨 섀도 복사본과 같은 설정을 비활화합니다.

ping 1.1.1.1 -n 1 -w 3000 > Nul & Del /f /q "%s"

다음으로 ROADSWEEP은 RC4로 암호화되고 바이너리 자체에 포함된 구성 값을 추출합니다. 첫 번쨰는 암호화할 때 피해야 하는 확장자 목록입니다.

• .exe
• .dll
• .sys
• .lik
• .lck

또한, ROADSWEEP은 'How_To_Unlock_MyFiles.txt'(MD5: 44d1c75815724523a58b566d95378825)의 파일 이름과 랜섬웨어 노트를 해독합니다. 파일 생성 후 각 파일을 암호화하는 데 사용되는 암호화 키가 계산됩니다. 키는 다음과 같은 알고리즘을 사용해 임의의 데이터 스트림을 생성한 다음 이 값을 MD5로 해시하고 이를 RC4 키로 사용합니다.

그런 다음 ROADSWEEP은 내장된 RSA 공개 키로 이 키를 암호화하고 메시지 자체에 Base64로 인코딩 및 암호화된 복구 키를 추가해 랜섬웨어 메시지 형식을 지정합니다. Base64 인코딩은 'wxyz0123456789.-JKLMNOPghijklmnopqrstuvQRSTUVWXYZabcdefABCDEFGHI"'의 사용자 지정 알파벳을 사용합니다.

다음으로 ROADSWEEP은 피해자 장치에 있는 모든 논리 드라이브를 열겨하고 드라이브가 다음 중 하나인 지 확인합니다.

• DRIVE_REMOVABLE
• DRIVE_FIXED
• DRIVE_REMOTE
• DRIVE_CDROM

검색된 각 드라이브에 대해 ROADSWEEP은 해당 드라이브 내의 모든 파일 암호화를 담당하는 새 스레드를 초기화합니다. 이 스레드는 Windows FindFirstFileW 및 FindNextFileW API를 사용해 파일시스템을 열거합니다. 각 루트 디렉토리에 대해 앞서 언급한 내용과 파일 이름으로 랜섬웨어 노트가 생성됩니다.

그런 다음 ROADSWEEP은 디렉토리 내의 파일이 압축 해제된 확장자 목록과 일치하는 지 확인합니다. 일치하지 않을 경우 팡리이 암호화됩니다. 암호화 프로세스는 '.lck' 확장자로 파일 이름이 바뀌어 진행됩니다. 그런 다음 ROADSWEEP은 파일 생성 시간, 마지막 액세스 시간, 마지막 쓰기 시간을 가져와 저장합니다. 이런 값은 파일 시간을 보존하기 위해 지우기 후에도 사용되지만 자세한 용도를 알 수 없습니다.

그런 다음 ROADSWEEP는 파일을 열고 GetFileSize API를 사용해 크기를 계산합니다. 그런 다음 파일 내용을 0x100000 블록으로 청크하면 ROADSWEEP가 데이터를 읽고 RC4를 사용해 청크를 암호화한 다음 파일을 디스크에 덮어 씁니다. 이후 앞서 언급한 자체 삭제 스크립트가 실행되고 프로세스가 종료됩니다.

기술 부록 B: ZEROCLEAR 번형

• C2
• CHIMNEYSWEEP
• HomeLand Jusitce
• 무자헤딘에할크 단원
• CHIMNEYSWEEP
• ROADSWEEP
• ZEROCLEAR
• HomeLand Justice