최근 Sodinokibi 랜섬웨어가 취약한 Wordpress 사이트에 악성 자바스크립트를 삽입하여 가짜 포럼 페이지를 통해 유포되고 있다. 해당 웹페이지는 프랑스어로 작성되어 있으며, “modèle de lettre de résiliation contrat photocopieur”(복사기 계약 해지 양식) 라는 키워드를 통해 Sodinokibi 랜섬웨어를 유포하는 js파일을 다운로드 하도록 유도하고 있다. 공격에 악용된 도메인은 프랑스의 장비 임대업체의 도메인으로 공격자는 정상 페이지의 데이터를 가짜 Q&A 포럼으로 교체하는 악성 자바스크립트를 삽입하여 동작하는 방식으로 악성코드를 유포한다.
[그림 1] 악성코드 유포 구조
악성코드를 유포하는 페이지는 Q&A 포럼으로 위장하여 정상적인 파일에 대한 다운로드 방법에 대한 문의, 관리자의 다운로드 링크 답변과 같은 형식으로 작성되어 있다. 따라서 일반적인 이용자가 정상적인 페이지라고 생각하고 의심 없이 링크를 클릭하여 악성 JS 파일을 다운받을 수 있도록 작성되어 있다.
[그림 2] 악성 링크 클릭을 유도하는 Landing Page
[그림 3] 악성코드 유포 웹페이지의 원본 화면
하지만 실제 해당 URL의 페이지는 [그림 3]와 같이 정상적인 웹페이지이다. [그림 2]과 같은 악성 링크 클릭을 유도하는 페이지는 [그림 4]과 같이 해당 웹페이지 내에 삽입된 자바스크립트를 통해 사용자에게 노출되는 방식으로 동작한다.
[그림 4] 웹 페이지 내에 삽입된 악성 URL
[그림 5] 삽입된 웹페이지의 악성 링크
사용자가 해당 링크를 클릭하게 되면 난독화된 js파일이 다운로드 된다. 만약 사용자가 정상적인 문서파일로 생각해 해당 파일을 실행시키게 될 경우 난수를 조합한 인자값과 하드코딩된 도메인 문자열을 조합해 공격자가 준비한 php 파일에 접근하게 된다. 현재 해당 파일은 정상적으로 접근할 수 없는 상태이지만 Bleeping Computer에서 확인된 바로는 Js 파일 실행 시 해당 도메인에서 Base64로 암호화된 스크립트를 받아와 Powershell을 통해 실행시켜 Sodinokibi 랜섬웨어가 동작하게 된다. 해당 악성 페이지는 [그림 6]과 같이 remove function을 이용하여 html 태그와 body 태그를 제외한 모든 태그 내용을 삭제하는 방식으로 동작한다. 또한 해당 악성 페이지는 재 접속 시 악성 페이지에 작성되어 있는 Script를 통해 출력되는 가짜 Q&A 포럼 페이지가 아닌 [그림 3]과 같은 정상적인 웹 페이지를 출력한다.
[그림 6] function remove()
이러한 가짜 포럼 페이지를 이용한 공격은 이번이 처음이 아니다. [그림 7]과 같이 지난 2018년 국내에서도 매우 유사한 방식을 통해 무료 ppt 템플릿, 북한 폰트 다운로드와 같은 키워드를 이용하여 GandCrab 랜섬웨어가 유포되었던 이슈가 존재한다. 해당 공격을 진행하는 공격조직은 특정 키워드를 이용하여, 가짜 포럼 페이지에서 특정 키워드에 해당하는 파일을 다운로드 하도록 유도하는 방식으로 악성코드를 유도하고 있다. 특히 Q&A 형식을 통해 포럼 이용자 간 정상적인 커뮤니케이션이 이루어 진 것으로 위장하여 이용자를 속이는 방식을 사용하고 있다.
[그림 7] 이번에 유포된 Sodinokibi(좌)/ 2018년 7월 국내 유포된 GandCrab V4(우)
(그림출처: 울지않는 벌새 블로그 https://hummingbird.tistory.com/6697)
이렇듯 동일한 공격 패턴을 볼 때 두 공격 사이의 유사성은 상당히 높은 것으로 판단된다. 실제로, GandCrab 케이스와 이번 Sodinokibi 케이스 모두에서 [그림 6]에 나타난 function remove(elem) 코드가 완벽하게 일치하는 형태로 확인되었다. 또한 html body에 확인되는 내용들 역시 언어의 차이만 있을 뿐 다른 모든 source code가 동일한 것으로 확인되었다. 이러한 맥락에서 볼 때 이번 공격은 지난 GandCrab 이슈와 동일한 공격방식을 이용하여 Sodinokibi 랜섬웨어를 유포하고 있는 것으로 확인되었다. 따라서 해당 공격방식을 통해 국내 인터넷 이용자를 대상으로 Sodinokibi 랜섬웨어를 유포할 수 가능성이 높을 것으로 판단되어 주의가 필요하다.
[Reference]
https://hummingbird.tistory.com/6697
보안관제센터 MIR Team