|
Discord를 이용한 새로운 랜섬웨어 발견 침해사고분석팀 2021.03.08 |
|
|
MalwareHunter 보안 연구원들이 새로운 랜섬웨어를 발견했다. Hog로 불리는 랜섬웨어는 피해자가 파일들을 복호화하기 위해서 개발자의 Discord 서버에 참여해야만 하는 독특한 방식이 사용됬다.
Bleeping Computer는 Virustotal을 통해 랜섬웨어 샘플을 발견했고 실행 시 특정 Discord의 서버가 존재하는지 확인하고 파일 암호화를 시작한다. 암호화가 되면 .hog 확장자가 추가되고 복호화를 위한 파일이 생성된다.
복호화 프로그램을 실행하면 현재 발생한 상황에 대해 설명하고 Discord 사용자 토큰을 입력하라는 메시지가 표신된다.
토큰을 입력하게 되면 Discord의 API를 이용해 다음과 같이 서버에 가입되어 있는지 확인한다.
피해자가 서버에 가입했거나 서버가 존재하지 않을 경우 랜섬웨어 내부에 내장된 Key를 사용해 파일들의 복호화를 진행한다.
Discord 악의적인 목적으로 사용된건 이번이 처음이 아니다. TrendMicro가 발견한 Humble 랜섬웨어는 피해자의 정보들을 수집해 공격자의 Discord 서버로 전송한다. 이 외에도 악성 코드를 배포하는 경우도 존재했다.
Bleeping Computer는 "최근 Discord를 C&C로 활용하거나 수집 서버로 사용하는 경우가 많아졌다. 이런 합법적인 사이트를 서버로 사용하고 있어 탐지가 더 어려워지고 있는 추세다." 고 언급 했다.
출처
|
