뉴스19. 중국 배후 해킹그룹 Storm-1175, 제로데이로 랜섬웨어 무차별 살포

기사 요약:

중국 정부와 연계된 해킹조직이 제로데이 취약점을 악용하여, 미국, 영국, 호주의 의료 및 금융 기관을 공격하고 있으며, 이들은 시스템 침투 후 24시간 내에 메두사 랜섬웨어를 배포할 정도로 빠른 속도로 미국, 영국, 호주의 의료 및 금융 분야의 기업들을 공격한다.

 

1. 중국 연계 해킹 조직 'Storm-1175'가 보안 패치 이전의 제로데이 취약점인 CVE-2025-10035와 N-데이 취약점 등 16개 이상의 보안 결함을 악용하며 글로벌 기업들을 공격하고 있다.

 

2. 이들은 침투 성공 후 사나흘 이내에 메두사 랜섬웨어를 신속히 배포하는 등 매우 빠른 속도로 공격을 진행하고 있으며, 단일 취약점이 아닌 여러 결함을 엮는 '체이닝 기법'으로 방어망을 무력화하고 있다.

 

3. 공격 과정에서 보안 솔루션을 무력화 및 회피하기 위해 마이크로소프트 디펜더의 예외 설정을 추가하고, 반디집으로는 내부 데이터 수집 및 압축을, 알클론으로는 외부 서버로 유출하는 등 일반 소프트웨어를 데이터 탈취 도구로 악용하였다.

 

개인 의견: 취약점을 결합하여 공격하는 체이닝 기법을 처음 들었는데, 인상 깊었다. 공격자가 여러 해킹공격을 퍼부을 수 있다고 생각했지만, 연쇄로 발생하게 엮어서 실행시키는 부분은 예상하지 못했다. 보통 해커들의 공격들이 결국 침투하고 의심을 회피하게 만들고, 흔적을 남기지 않고 정보를 탈취하는 것인데, 반응하지 못할 만큼 빠르게 공격 후 도망가는 것이 이 공격의 특징으로 보인다. 결국 기업 입장에서는 제로데이 취약점이 존재하는 기간을 최소화하는 게 피해를 막기 위한 최선책이 아닐까 싶다.

 

<용어정리>

제로데이 취약점: 보안 취약점이 발견되었으나 아직 이를 해결할 수 있는 보안 패치가 나오지 않은 상태

N-Day 취약점: 보안 패치가 이미 공개되었지만, 사용자가 아직 패치를 적용하지 않아 공격에 노출된 상태의 취약점

체이닝: 여러 개의 보안 취약점을 순차적으로 연결하여 하나의 강력한 공격 경로를 만드는 고도의 해킹 기법

웹로직: 기업용 대규모 웹 서비스를 돌리는 서버

알클론: 다양한 클라우드 저장소 간의 파일 동기화 및 관리를 돕는 명령줄 도구

 

 

 

+추가설명

 

[체이닝 작동 메커니즘] 

공격 조직은 보통 다음과 같은 익스플로잇 코드(Exploit Code)를 하나로 묶어서 실행한다.

1. 조건문 기반의 자동 전환: 프로그램 내부에 만약 A 취약점 공격이 성공해서 'ID: Admin'이라는 결과가 나오면, 즉시 B 취약점 공격 코드를 실행해라라는 로직이 들어있습니다. 사람이 판단할 틈을 주지 않고 기계가 바로 다음 단계 코드를 주입(Injection)한다.
2. 페이로드(Payload)의 중첩: 첫 번째 공격을 보낼 때, 그 안에 두 번째 공격을 수행할 '악성 스크립트'를 미리 숨겨서 보냅니다. 일단 성벽을 넘기만 하면 내부에서 자동으로 보따리가 풀리며 다음 공격이 시작되는 식이다.

 

[마이크로소프트 디펜더 설정 추가(추가 설명)]

해커가 디펜더에 추가하는 것은 한마디로 "여기는 검사하지 말고 그냥 지나가"라는 프리패스 명단입니다.

1. 특정 폴더 경로 (Exclusion Path)

해커가 악성코드를 숨겨놓을 '아지트' 주소를 등록한다.

• 예: C:\\Windows\\Temp\\System32_Update\\ (정상 폴더처럼 이름을 속임)
• 결과: 디펜더가 컴퓨터 전체를 싹 뒤지다가도, 해커가 지정한 저 폴더 안만큼은 아예 들여다보지 않고 건너뛴다.

2. 악성 파일의 이름 또는 확장자 (Exclusion Extension)

특정 확장자를 가진 파일은 무조건 안전하다고 속인다.

• 예: .exe 또는 기사에서 언급된 랜섬웨어 실행 파일명(medusa.exe)
• 결과: 디펜더는 해당 이름을 가진 파일이 실행될 때 검사하지 않기로 정한 파일이라며 악성 행위를 방치한다.

3. 공격에 사용할 프로세스 (Exclusion Process)

기사에 나온 반디집(Bandizip)이나 알클론(Rclone) 같은 프로그램 이름을 등록한다.

• 예: bandizip.exe, rclone.exe
• 결과: 원래는 반디집이 수만 개의 파일을 갑자기 압축하면 디펜더가 차단할 수 있지만, 예외 목록에 등록되면 무슨 짓을 해도 의심하지 않는다.