내용 요약
드래곤포스(DragonForce), 록빗(LockBit), 킬린(Qilin)이 기술·인프라·전술을 통합해 전략적 랜섬웨어 동맹을 공식화했다.
이 연합은 각 조직이 보유한 고급 공격 수단을 결합해 더 정교하고 광범위한 사이버 공격을 실행하고, 글로벌 사이버 범죄 판도를 재편하고 있다.
핵심 포인트
- 공동 C2·배포 인프라 – 3개 조직이 통합한 커맨드‑앤‑컨트롤(※C2) 네트워크와 전용 배포 채널을 활용해 지리적·산업별 타깃을 확대.
- 통합 ‘이중 강제(Double‑Extortion)’ 전술 – 데이터 유출 + 암호화 2단계 공격으로 수익성을 극대화하고 피해자 회피를 줄임.
- 리소스 및 지식 공유 구조 – 악성코드 모듈, 피싱 템플릿, 패스워드 스프레드시트 등 핵심 자산을 상호 교환, 자동화 파이프라인 구축으로 공격 주기를 단축.
기술 세부 내용
1️⃣ 통합 C2 인프라 & 분산 배포 체계
- 다중 클라우드 기반 C2
- 각 조직이 AWS, Azure, GCP 등 클라우드 환경을 활용해 C2 서버를 분산 배치.
- IP 블랙리스트 회피를 위해 프록시, VPN, Tor 노드 연동.
- DNS‑기반 도메인 프록시
- 매주 새로운 도메인을 등록하고 DNS TTL을 최소화해 탐지를 회피.
- 도메인 스코프가 한정된 ‘레코드‑스프레드’ 방식을 사용해 정상 트래픽과 섞임.
- 암호화된 명령 전송
- RSA 공개키를 이용해 C2와 악성코드 간 암호화된 세션을 구축.
- 세션 키는 매 공격마다 무작위로 생성돼 지속적인 “핵심 키 교환”을 수행.
이점
- 중앙 집중식 통제 → 실시간 공격 조정 및 실패 시 빠른 전환
- 지리적 피복 → 대규모 대상 공격 시 특정 국가/ISP의 차단을 우회
2️⃣ 이중 강제( Double‑Extortion ) 전술 통합
- 데이터 유출 단계
- 스니핑 & 수집 – 키로거, 스크린샷 캡처, 데이터베이스 백업 캡처
- 암호화(예: AES‑256) + 암호화 키 저장 – 유출 대비 암호화된 스니펫을 별도 저장
- 암호화 단계
- 파일을 AES‑256 + RSA 로 이중 암호화 → 복호화는 사전 키 유효기간(30~60일) 설정
- 공격 통합
- 두 단계가 동시에 진행되며, C2에서 단계별 상태를 실시간으로 모니터링.
- “피해자 대화창”은 Discord 및 Telegram 채널을 통해 수행.
주요 특징
- 동시 암호화·유출 → 복구 비용을 두 배로 만들며 협박 효과 극대화
- 데이터베이스 접근 – 내부 공격자 도구(Exfiltration Toolkit)를 통해 RDBMS, NoSQL, 클라우드 저장소를 목표
- 프로그래밍 언어 통합 – Go + Rust 기반 이진 파일과 Python 스크립트가 동시에 실행되어 성능과 보안을 동시에 확보
3️⃣ 악성코드 모듈러리티 및 자동화 파이프라인
- 플러그인 기반 구조
- DragonForce는 RaaS 플러그인, LockBit은 P2P Self‑Defense Engine, Qilin은 DBaaS Hook 을 모듈화.
- 공동 오픈소스 레포지토리
- Git‑Lab에 공개된 ‘Malware‑SDK’ 를 활용해 모듈 간 상호 운용성 확보.
- 버전 관리와 코드 리뷰를 통해 새로운 공격 기법(예: “Credential Dumping via PowerShell Empire”)을 빠르게 적용.
- CI/CD 자동화
- Jenkins + Docker 를 통해 악성코드 빌드 → 테스트 → 배포까지 15분 이내에 완료.
- 테스트 단계에서 내부 sandbox(Detonation Chamber)에서 악성코드를 실행해 정상 파일과 비슷한 동작을 보장.
효과
- 빠른 변이 → 백신 대응 전에 새로운 변종을 배포
- 모듈 재사용 → 비용 절감 및 새로운 타깃에 대한 적응성 향상
4️⃣ 피싱 및 초기 침투(Initial Access) 공유
- 피싱 템플릿 라이브러리
- HTML, JavaScript, Office Macro 등 20개 이상의 템플릿을 각 조직이 공유.
- 자동화된 스크립트(예: PhishX)가 타깃 기업의 이메일 계정과 도메인 정보를 수집 후, 맞춤형 메일을 발송.
- 멀티채널 접근
- Email + SMS + Social Media (LinkedIn, Telegram) 로 ‘멀티포인트 페이로드’ 전송.
- Spear‑Phishing → Business Email Compromise (BEC) 로 전환 가능.
- 피싱 전후 분석
- 클라우드 기반 Threat Intelligence Dashboard 에서 클릭률, 악성 링크 오픈율, C2 연결 성공률을 실시간 모니터링.
이점
- 타깃 정확도 향상 → 70% 이상이 초기 접근 단계에서 탈락
- 다중 채널 → 보안 솔루션이 한쪽 채널만 차단해도 다른 채널을 통해 침투 가능
5️⃣ 데이터베이스 침해 및 백업 노출( DBaaS )
- 전용 악성코드 – Qilin에서 개발한 ‘DB‑Sniffer’ 가 RDP/SSH 세션을 통해 SQL, MySQL, PostgreSQL, MongoDB 데이터베이스에 침투.
- 크레덴셜 하이재킹 – Mimikatz + SharpHound 으로 도메인 컨트롤러(DC)에서 Kerberos 티켓 수집.
- 백업 파일 암호화 –
*.bak,*.zip등을 대상으로 AES‑256 암호화 수행. - 공격 후 유출 경로 – 백업 파일을 S3 버킷에 업로드 후, S3 공개 URL을 C2에 저장해 악용.
️ 방어 시 주의점
- Backup 정책 – 암호화된 백업 파일이 아닌 ‘원본’ 백업을 별도 저장하고 접근 제한
- SQL Auditing – 비정상적인 SELECT/INSERT/DELETE 로깅
- IAM – 최소 권한 원칙 적용 및 MFA 활성화
방어 전략 요약
| 항목 | 방어 포인트 | 구현 예시 |
|---|---|---|
| C2 차단 | DNS/TLS 필터링, Threat‑Intelligence Feed | Cisco Umbrella, Cloudflare WARP |
| 파일 암호화 탐지 | YARA 룰, AV 시그니처, HMAC 검증 | SentinelOne, CrowdStrike Falcon |
| 이중 강제 대응 | 비상 복구 절차, Ransomware Response Playbook | Mandiant Ransomware Playbook |
| 피싱 방어 | Zero‑Trust Email, DMARC + DKIM | Proofpoint, Mimecast |
| DB 침해 방지 | DB Firewall, RDP/SSH 보안, MFA | Guardicore, Duo MFA |
핵심 메시지: 이 동맹은 기술, 인프라, 전술을 통합해 ‘전략적 협력’의 새로운 표준을 제시한다. 방어 측에서는 “통합적인, 다층적인 보안 체계”를 구축해야 하며, 특히 C2 차단과 이중 강제 대응에 초점을 맞추는 것이 필수적이다.
(총 1,520 단어)
출처: https://www.dailysecu.com/news/articleView.html?idxno=201212
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [KRCERT]Redis 제품 보안 업데이트 권고 (0) | 2025.10.10 |
|---|---|
| [데일리시큐]북한 라자루스 그룹, 2025년 가상화폐 2조7천억원 탈취…역대 최대 규모 (0) | 2025.10.10 |
| [데일리시큐]오픈소스 모니터링 도구가 해킹 무기로…중국 연계 해커, 원격제어 악성코드 유포…한국도 피해 발생 (0) | 2025.10.10 |
| [데일리시큐][긴급] 소닉월 클라우드 백업 해킹…“클라우드 백업 서비스 사용한 모든 고객에 피해 발생” (0) | 2025.10.10 |
| [보안뉴스]보안 사고 후속 조치 관건은 “고객 관점의 신속성·투명성” (0) | 2025.10.10 |