[안랩 ASEC 리포트] Trigona 랜섬웨어 최신 공격 분석

Trigona 공격자의 최신 공격 사례 분석 - ASEC

---

공격자 개요 및 목표 시스템

• 공격자 추정: 과거 Mimic 및 Trigona 랜섬웨어를 사용해 MS-SQL 서버를 공격했던 주체와 동일한 공격자로 추정됨. 최근까지도 활동하며 유사 방식에 새로운 악성코드와 도구를 도입했음을 확인함.
• 주요 목표: 외부에 노출되어 있고 계정 정보가 단순하여 무차별 대입 공격(Brute Forcing)이나 사전 공격(Dictionary Attack)에 취약한 MS-SQL 서버.

공격 실행 및 시스템 정보 획득

• 최초 침투: MS-SQL 서버 로그인에 성공한 후 CLR Shell을 이용해 추가 페이로드를 설치했음.
• 정보 획득: 감염 시스템 정보를 획득하기 위해 다음 명령들을 실행 
  • hostname, whoami, systeminfo, tasklist
  • 로컬 계정 정보 획득 (wmic 명령)
  • 특정 사용자 정보 확인 (powershell 명령)

악성코드 설치 방식 (BCP 악용)

• BCP 유틸리티 악용: 공격자의 대표적 특징으로 BCP (Bulk Copy Program) 유틸리티를 악용해 파일을 생성했음.
• 파일 생성 과정: 데이터베이스 테이블(예: "uGnzBdZbsi")에 악성코드를 저장한 뒤, BCP 명령을 사용해 포맷 파일("FODsOZKgAU.txt")과 함께 로컬 경로에 실행 파일(spd.exe)로 내보냈음. 이 키워드들은 2024년 공격 사례에서도 사용되었음.
• 기타 도구: BCP 외에도 Curl, Bitsadmin, 파워쉘 등 다양한 도구를 사용해 악성코드를 다운로드했음.

사용된 악성코드 및 도구 분석

1. 원격 제어 도구

• AnyDesk: 이전 사례와 동일하게 사용되었으며 특정 경로에 설치되었음.
• RDP 사용자 추가: 특정 Batch 파일을 실행해 "Remote99" 또는 "Ladmin" 이름의 RDP 접속 가능 사용자를 추가했음. 이 파일은 AnyDesk 및 레지스트리 키 수정 기능도 포함했음.
• Teramind 다운로더: 새로 확인된 Bat2Exe 기반 다운로더는 "erp2" 계정을 생성했으며, 외부에서 MSI 파일을 설치해 RMM 도구인 Teramind를 설치하는 것으로 추정됨. RDP, AnyDesk 외 Teramind를 통해서도 시스템을 제어했을 것으로 보임.

2. 스캐너 및 테스트 도구

• Rust 스캐너: Rust로 작성된 스캐너를 사용했음. ip-api.com을 통해 시스템 정보를 C&C 서버에 전송하고, 명령에 따라 RDP 및 MS-SQL 서비스를 스캐닝했음.
• 테스트 도구: 스캐닝 및 브루트 포싱 악성코드 설치 전에 테스트를 수행했음.

SpeedTest: 인터넷 속도 측정 도구를 설치했음.

StressTester: Go 언어로 추정되며, GET, POST 요청 외에 SQL 인젝션 테스트 기능을 제공했음.

 

3. 기타 악성코드 및 도구

• 권한 상승: 깃허브에 공개된 권한 상승 도구가 사용되었음.
• 방어 기능 무력화: Defender Control과 같은 도구를 사용했음.
• 파일/디렉터리 제거: 특정 경로의 파일들을 제거하거나 실행 파일을 악성코드로 교체하는 악성코드가 사용되었음. Rust 유형과 Batch 스크립트 형태가 존재하며, 특정 디렉터리(예: C:\ProgramData, C:\Users\Public\Music) 내의 .exe 실행 파일 등을 제거했음.

결론 및 대응 방안

• 공격 원인: 주로 부적절한 계정 관리로 인한 무차별 대입 공격 및 사전 공격을 이용했음.
• 대응 방안:
  1. 계정 보안 강화: 비밀번호를 추측하기 어렵게 설정하고 주기적으로 변경해야 함.
  2. 보안 제품 사용: V3를 최신 버전으로 업데이트하여 악성코드 감염을 차단해야 함.
  3. 접근 통제: 외부에 공개된 데이터베이스 서버에 대해 방화벽 등을 이용해 외부 공격자 접근을 통제해야 함.