- 제조, 헬스케어, 리테일, 기술 기업들 공격 대상

 

카스퍼스키는 오늘, 카스퍼스키 위협 리서치팀이 올해 초에 러시아어권 랜섬웨어 그룹 ‘올드그렘린(OldGremlin)’의 새로운 공격을 식별했다고 밝혔다. 이는 제조, 헬스케어, 리테일, 기술 기업을 공격 대상으로 삼았던 해당 그룹의 활동 재개를 알리는 신호로, 과거에는 단일 피해자에게 최대 1,700만 달러에 달하는 몸값을 요구한 전례가 있다.

 

이번 공격 행위는 그룹의 과거 전술과 일치하며, 처음으로 공격자가 스스로 ‘OldGremlin’이라는 명칭을 몸값 요구 문서와 파일 경로에 직접 사용했다. 해당 툴킷은 핵심 윈도우 보안 기능을 비활성화하여 그룹의 자체 드라이버를 실행하고, 명령 수행에는 노드.js(Node.js)를 활용한다.

 

카스퍼스키 연구진은 올드그렘린 툴킷이 크게 원격 접근 백도어, 패처, 마스터, 클로즈더도어 등의 네 가지 주요 구성요소로 이루어져 있음을 확인했다.

 

▲공격자가 감염된 컴퓨터를 원격으로 제어가 가능한 ‘원격 접근 백도어’ ▲합법적인 윈도우 드라이버의 취약점을 악용해 서명되지 않은 드라이버 차단 기능을 끄고, 그룹의 악성 드라이버를 로드해 보안 툴을 무력화하는 ‘패처(Patcher)’ ▲파일 암호화 프로그램으로, 독립 실행 파일 또는 노드.js 애드온(Node.js add-ons) 형태로 작동. 로컬호스트(localhost:8010)에서 질의 시 현재 암호화 진행 상태를 보고하는 ‘마스터’ ▲암호화 과정 중 네트워크에서 디바이스를 격리, 몸값 요구 문서를 배포하고 흔적을 삭제하는 ‘클로즈더도어(Closethedoor)’ 등이다.

 

카스퍼스키의 야니스 진첸코 위협 리서치 전문가는 “올드그렘린 그룹은 백도어, EPP/EDR 무력화 도구, 암호화 트로이목마를 포함한 툴셋을 발전시켜 왔다. 또한, 합법적인 툴과 취약한 드라이버까지 공격에 활용하고 있다. 이러한 위협과 고도화된 공격에 대응하기 위해, 기업의 보안 요구에 맞춰 확장 가능한 카스퍼스키 넥스트(Kaspersky Next) 제품군을 도입하는 것을 권장한다. 이는 실시간 보호와 함께 EDR 및 XDR 기능을 제공해 조직이 보안을 한층 강화할 수 있도록 지원한다”고 밝혔다.

 

카스퍼스키 이효은 한국지사장은 “한국의 빠른 기술 산업 발전은 사이버 공격의 주요 표적이 되고 있으며, 올드그렘린과 같은 그룹은 합법적 툴과 악성 드라이버를 혼합해 공격 체인을 지속적으로 고도화하고 있다”고 밝히고, “이에 기업들은 역동적인 방어 체계를 반드시 구축해야 한다. Kaspersky Next 제품군은 이러한 목적을 위해 설계된 확장 가능한 솔루션으로, 복잡한 사이버 환경에서 선제적 방어와 신속한 대응을 가능하게 지원 한다”고 덧붙였다.

 

카스퍼스키는 2025년 사건을 올드그렘린과 연결지을 수 있는 단서로, 일관된 전술과 이전 캠페인에서 재사용된 암호화 공개키(Cryptographic Public Key)를 확인했다. 올해 표적이 된 분야는 제조, 기술, 리테일, 헬스케어 조직으로, 해당 그룹은 과거 평균 약 49일 동안 내부에 잠복한 뒤 파일을 암호화하는 전략을 사용했으며, 2022년에는 1,690만 달러에 달하는 몸값을 요구한 사례도 있었다. 또한, 카스퍼스키는 이들의 명령 및 제어(C2) 서버가 퍼블릭 인터넷에서 접근 가능한 점도 관찰했다.

 

#카스퍼스키#EDR#XDR#올드그렘린#