REvil의 부활? 또는 모방 집단?
Executive Summary
Akamai 연구원들은 악명 높은 RaaS(Ransomware-as-a-Service) 그룹 REvil과 연관되었다고 주장하는 Akamai 고객을 대상으로 한 DDoS(Distributed Denial of Service) 캠페인을 모니터링해 왔습니다.
현재까지 공격은 몇 가지 캐시 버스팅 기법을 이용해 수많은 HTTP/2 GET 요청을 전송함으로써 웹사이트를 마비시키는 방식으로 사이트를 공략했습니다.
이러한 요청에는 임베딩된 결제 요구, BTC(Bitcoin) 지갑, 비즈니스/정치적 요구 사항이 포함되어 있습니다.
이러한 시도는 REvil이 시작했다고 주장하는 이전의 유사한 캠페인보다는 규모가 작고 갈취 시도와 관련된 정치적 목적을 가지고 있는 것으로 보이며, 이는 과거에는 관찰된 적이 없습니다.
BTC 지갑은 현재 기록이 없으며 REvil에서 사용한 이전에 알려진 BTC 지갑과 연결되어 있지 않습니다.
서론
악명 높은 랜섬웨어 그룹 REvil은 보안 커뮤니티에서 잘 알려져 있으며 그럴 만한 이유가 있습니다. REvil은 2021년에 Kaseya 랜섬웨어 공격을 주도한 것으로 알려지면서 관심을 받았으며,같은 해에 JBS도 공격해 마비시켰습니다. REvil은 2022년 3월 러시아 정부에 의해 해체된 것으로 알려졌습니다. 러시아 정부는 Colonial Pipeline에 막대한 피해를 입힌 캠페인에 도움을 준 REvil 회원을 체포한 것을 비롯하여 REvil을 대상으로 조치를 취했습니다.
지난 주에 Akamai SIRT(Security Intelligence Response Team)는 REvil이라고 주장하는 단체에 의한 호텔 및 관광 산업 고객에 대한 레이어 7 공격을 파악했습니다. 이 게시물에서는 이 공격을 자세히 살펴보고 REvil 그룹과 관련이 있는 것으로 보이는 이전 공격과 비교해 보겠습니다.
공격
2022년 5월 12일에 Akamai 고객이 REvil과 관련이 있다고 주장하는 그룹이 공격을 시도했다고 SIRT팀에 통보했습니다. Akamai는 즉시 데이터를 분석하고, 다른 공격 데이터를 상호 참조하여, 이 주장을 확인하거나 반박할 수 있는지 조사했습니다.
피크 트래픽이 15kRps인 이 공격은 단순한 HTTP GET 요청으로 이루어진 조직적인 DDoS 공격이었습니다. 여기서 요청 경로에는 결제를 요구하는 554바이트 메시지를 비롯해 공격 대상에 보내는 메시지가 포함되었습니다. 메시지 내용은 공격을 막으려면 지갑 주소에 BTC를 이체하라는 것이었습니다. 더불어 표적이 된 기업에 전국에서 비즈니스 활동을 멈추라는 지리적인 추가 요구도 있었습니다. 대상 기업이 비즈니스/정치 요구를 따르지 않고 지정된 기한 내에 대가를 지불하지 않으면 후속 공격으로 글로벌 비즈니스 운영을 교란시키겠다고 위협했습니다.
이 캠페인은 Imperva가 공개한 것과 유사한 패턴을 따랐습니다.여기에는 대상 기업의 운영팀과 임원에 보낸 협박 메시지의 일부로 URL에 "revil" 문자열이 포함되었습니다.
공격 세부 정보 및 침해 지표
캐시 버스팅
갈취 요구가 포함된 요청 경로는 정적이었지만 무작위로 생성된 고유한 8자 문자열이 경로 끝에 있는 것은 물론 고유한 8자 쿼리 문자열이 추가되어 있었습니다. 이것은 전형적인 캐시 버스팅 기법으로서, 모든 요청을 고유하게 만들어 캐싱을 우회하고, 오리진 웹 서버에서 요청을 검색하게 만듭니다.
HTTP 헤더
또한 “Accept” 요청 헤더에는 공격 중 모든 요청에서 수락된 미디어 유형의 긴 정적 목록이 포함되었습니다. 이러한 조합과 다소 독특한 순서 덕분에 공격 이벤트 중 공격원을 정확히 파악할 수 있었습니다.
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
사용자-에이전트 요청 헤더도 주목해야 합니다. 공격 이벤트 전반에 걸쳐 모든 공격원에서 변형이 없는 단일 정적 사용자-에이전트 문자열이 관찰됐습니다.
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
HTTP GET 요청 헤더도 "일반적인" 패턴과 비교해보면 순서가 벗어나 있기 때문에 맞춤형으로 개발된 DDoS 공격 도구로 판단할 수 있습니다. 이러한 값이 캠페인 간에 변경될 수 있으므로 이러한 패턴에 대해 서명을 작성하는 것만으로는 IoC(Indicator of Compromise) 관점에서 방어하는 데 도움이 되지 않을 수도 있습니다.
이 공격 캠페인에서는 이러한 값이 수천 개의 공격원에서 정적으로 유지되기 때문에 방어자들은 신호 대 노이즈 식별 및 서명 작성 및/또는 차단 프로세스의 일부로 유사한 패턴을 분리할 수 있습니다.
프록시 및 라우터
공격 중 HTTP 헤더가 정적으로 유지되지만 공격에 참여하는 IP는 상당히 잘 분산됐습니다. 공격원을 자세히 살펴보면 공격에 참여한 많은 IP가 MikroTik 디바이스이거나 프록시 서비스를 보유한 서버인 것으로 보였습니다. 프록시 노드의 경우 프록시 기능을 활용하려면 최소한 사용자 이름과 암호가 필요하기 때문에 어느 정도 봉쇄된 것으로 보입니다. 이러한 프록시는 누군가가 찾아서 마구잡이로 활용할 수 있는 인터넷 상의 개방형 프록시가 아니었습니다. 공격자와 프록싱 시스템 사이에 일정 수준의 조정이 필요했으며, 기존의 프록싱 봇넷에 대한 접속을 활용 및 구매했을 가능성이 높습니다.
Meris 봇넷
공격원에서 확인된 MikroTik 디바이스의 수를 통해 MikroTik 기반 Meris 봇넷이 공격을 지원했다고 가정할 수 있습니다. 이것이 사실일 수도 있지만 공격 중에 수집된 정보를 바탕으로 주장을 확인하거나 부인하기는 어렵습니다. 또한 캠페인이 진행되면서 MikroTik 이외의 공격원이 Meris 운영자들이 사용한 것과 비슷한 방식으로 보호된 프록싱 서비스를 사용한 것으로 보입니다.
지금까지 Meris는 기록적인 수준의 DDoS 공격 역량과 관련되어 있습니다. 과거 공격에서 2mRps 이상에서 2Tbps 이상의 Flood가 발생하여 HTTP 파이프라이닝과 보다 정교한 기술을 활용했습니다. 이와는 대조적으로 해당 캠페인은 상대적으로 약 15kRps(또는 보고된 피크 rps의 약 0.6%)에서 정점에 도달했고 매우 정교하지 않았습니다.
많은 공격원이 공격 트래픽을 프록시한 MikroTik 디바이스였다는 것이 변함없는 사실이며 해당 프록시는 이러한 방식으로 사용자 이름과 암호를 활용하기 위해서는 프록시 서비스에 적용된 사용자 이름과 암호를 사전에 알고 있어야 합니다. Meris 봇넷이 "판매 중"일 가능성이 있으며, 암시장에서 최초로 판매된 악성 프록시 네트워크도 아닐 것입니다. 또한 "자체 봇넷 투입" 거래일 수도 있습니다. 이 경우, 덜 정교하거나 광범위한 툴을 사용하는 공격자가 Meris 지원 공격을 시작할 수 있습니다.
REVil의 전형적인 공격 방식
이것이 REVil의 공식적인 부활인지 아니면 모방 공격인지 논의하려면 알려진 REVil의 공격 방식을 검토한 후 두 상황을 비교하고 대조해야 합니다.
REvil은 지금까지 RaaS 그룹으로 활동하며 기업을 대상으로 랜섬웨어 공격을 성공적으로 실행하는 데 필요한 툴킷과 전문 지식을 제공했습니다. 이것은 이전 게시물에서 소개한 Conti 랜섬웨어 그룹과 유사합니다.
이번 공격은 그룹의 "새로운" 운영 유형으로 보입니다. REvil이 3중 갈취 수단으로 DDoS를 사용한 사례가 있었지만 이 기법은 일반적인 전술에서 벗어난 것이었습니다. REvil은 RaaS 공급업체이며 이번 사례에는 랜섬웨어가 없습니다. 일반적으로 대상 네트워크나 조직에 대한 권한을 얻고 중요한 데이터를 암호화하거나 훔친 후, 최고 입찰자에게 암호 해독이나 정보 누설 장비를 위한 대가를 요구하거나, 민감하거나 중요한 정보를 공개하겠다고 위협합니다.
또한 이번 공격은 정치적인 동기가 있고 대상 기업의 비즈니스 모델에 대한 최근 법적 판결과 관련이 있는 것으로 보입니다. 과거에 REvil은 순수하게 수익을 추구한다고 공개적으로 선언했습니다. 그들이 수행하는 공격의 확대적인 특성에는 이러한 공격으로 어쩔 수 없이 협력하거나 대가를 지불할 수밖에 없을 것이라고 기대하면서 데이터를 삭제하거나 기업에 피해를 줄 수 있는 민감한 정보를 공개하는 행위가 포함됩니다. 지금까지 보고된 다른 공격에서 REvil는 정치적 캠페인과 관련된 적이 없었습니다.
REvil이 수익성 있는 비즈니스 모델로서 다양한 DDoS 갈취 방법을 테스트하는 것일 수도 있지만, 과거에 사용했던 DDoS 갈취 캠페인을 새로운 캠페인에 재활용하는 협박 전술일 가능성이 높습니다. DD4BC 부터 Fancy Lazarus와 REvil까지 DDoS 갈취와 관련하여 협박은 기본 전술이 됐으며 악명 높은 그룹의 이름을 활용하여 기업 임원과 보안팀에 공포를 불어넣고 피해자들이 대가를 지불하게 만드는 최선의 수단이 됐습니다.
결론
해킹 그룹이 기법을 변경한 것은 새로운 비즈니스 모델로 전환했거나, 스킬 세트를 극적으로 변경한 것이거나, 그룹이 분리된 것이거나, 관련 없는 모방 그룹이 해당 그룹의 명성을 이용하여 시야가 좁고 감정적으로 반응하는 피해자로부터 손쉽게 돈을 뺏으려는 것일 수 있습니다. 이번 공격의 성격이 이 중 어떠한 것인지 현재까지 분명하지 않지만, 지난달에 REvil의 부활이 헤드라인을 장식했기 때문에 앞으로 이러한 기법과 캠페인의 피해자가 될 수 있는 다른 기업이 경각심을 가지기를 바랍니다.
Akamai SIRT의 목표는 새로 발견한 사례의 추적, 탐지, 기록 및 발표를 통해 Akamai, Akamai 고객, 인터넷 전반의 보안과 안정을 지켜내는 것입니다. Akamai는 공격을 계속 모니터링하고 그 결과를 블로그에 업데이트할 예정입니다.
