보안정보

RaaSProxy MalwareBotnet

Gentlemen 랜섬웨어, SystemBC 활용으로 봇넷 기반 공격 확대

분석팀 2026.04.21



Gentlemen 랜섬웨어 공격에서 SystemBC 기반 봇넷이 활용된 정황이 발견됐다.


해당 봇넷은 1,570개 이상의 호스트로 구성된 것으로 확인됐다.


보안 연구진은 랜섬웨어 공격에 대한 조사 과정에서 이 봇넷을 식별했다고 밝혔다.


감염된 시스템은 주로 기업 환경으로 추정된다고 설명했다.


Gentlemen 랜섬웨어 서비스형(RaaS)은 2025년 중반에 등장했다.


해당 서비스는 Windows, Linux, NAS, BSD 시스템을 암호화할 수 있는 Go 기반 암호화 도구를 제공한다.


또한 ESXi 하이퍼바이저를 위한 C 기반 암호화 도구도 제공한다.


지난해 12월, 루마니아의 대형 에너지 기업 한 곳이 침해됐다.


이달 초에는 한 기업이 침해 사실을 공개했다. 


해당 사건은 Gentlemen 랜섬웨어의 데이터 유출 사이트에 등록된 것으로 확인됐다.


공격 조직은 약 320건의 피해를 주장했지만, 대부분의 공격은 올해 발생한 것으로 나타났다.


보안 업체는 공격자가 도구와 인프라를 확장하고 있다고 분석했다.


특히 은밀한 페이로드 전달을 위해 프록시 악성코드를 배포하려 시도한 사실이 확인됐다.


SystemBC 명령제어(C2) 서버에서 피해자 원격 측정 데이터를 분석한 결과, 1,570개 이상의 감염 시스템이 확인됐다.


감염 패턴은 기회주의적 소비자 대상보다는 기업 및 조직 환경에 초점을 둔 것으로 분석됐다.


SystemBC는 최소 2019년부터 사용된 악성코드로, SOCKS5 터널링 기능을 제공한다.


악성 페이로드를 전달할 수 있는 기능으로 인해 빠르게 확산됐다. 


또한 감염된 시스템에 페이로드를 주입하는 데에도 사용되어, 랜섬웨어 조직에 의해 신속하게 악용됐다. 


2024년 법 집행 기관의 대응에도 불구하고, 해당 봇넷은 여전히 활동 중이다.


이전에는 악성 트래픽을 유포하기 위해 하루 1,500개의 상업용 가상 사설 서버(VPS)를 감염시킨 사례도 보고됐다.


피해자는 대부분 미국과 영국, 독일, 호주, 루마니아에 집중된 것으로 나타났다.




[그림 1. 감염된 조직의 위치]



보안 업체는 해당 C2 서버가 전 세계 다수 피해자를 감염시켰다고 밝혔다.


또한 피해자의 대부분이 기업일 가능성이 높다고 분석했다.


이는 SystemBC가 대규모 무작위 공격보다 사람 개입형 침투에 주로 사용되기 때문이다.


연구진은 SystemBC가 랜섬웨어 생태계에서 어떤 역할을 하는지 명확히 확인하지 못했다.


또한 해당 악성코드가 여러 관련 조직에 의해 사용되었는지 여부도 확인할 수 없었다.


초기 침투 경로는 확인되지 않았다.


그러나 공격자는 도메인 컨트롤러에서 활동한 것으로 분석됐다.


도메인 관리자 권한을 보유한 상태였다.


공격자는 거기서 어떤 자격 증명이 작동하는지 확인하고, 정찰 활동을 수행했다.


그 다음 RPC를 통해 원격 시스템에 Cobalt Strike 페이로드를 배포했다.


Mimikatz를 사용한 자격 증명 탈취 및 원격 실행을 통해 측면 이동이 이루어졌다.


공격자들은 내부 서버에서 랜섬웨어를 배치하고, 내장된 전파 기능과 그룹 정책(GPO)을 활용했다.


이를 통해 도메인에 연결된 시스템 전반에서 암호화기가 거의 동시에 실행되도록 했다. 




[그림 2. Gentlemen 랜섬웨어 연계 공격 과정]



해당 악성코드는 X25519(Diffie-Hellman)과 XChaCha20 기반의 혼합 방식을 사용하며, 각 파일마다 임시 키 쌍을 생성한다.


1MB 미만의 파일은 완전히 암호화되지만, 더 큰 파일의 경우 데이터의 약 9%, 3%, 또는 1%만 암호화된다.


Gentlemen 랜섬웨어는 암호화 작업을 시작하기 전, 데이터베이스와 백업 소프트웨어, 가상화 프로세스를 종료한다.


또한 섀도 복사본과 로그를 삭제한다. 


ESXi 변종은 디스크 암호화를 위해 가상 머신도 종료한다.




[그림 3. ESXi 변종 랜섬웨어의 협박 메시지]



Gentlemen 랜섬웨어는 언론에서 크게 주목받지 않았던 유형이다.


그러나 해당 랜섬웨어 서비스(RaaS)가 빠르게 성장 중인 것으로 분석됐다.


또한 지하 포럼을 통해 신규 공격자를 모집하는 정황도 확인됐다.


보안 업체는 이번 활동이 조직의 수준 향상을 의미한다고 분석했다.


SystemBC, Cobalt Strike, 대규모 봇넷이 함께 사용됐다.


이는 성숙한 사후 공격 체계와 프록시 인프라로 구성된, 더 광범위한 도구 체인에 적극적으로 통합하고 있음을 시사한다. 


보안 업체는 수집된 침해 지표(IoC) 외에도, 방어자가 이러한 공격으로부터 보호할 수 있도록 YARA 룰 형태의 시그니처 기반 탐지 기능도 제공했다.




출처

https://www.bleepingcomputer.com/news/security/the-gentlemen-ransomware-now-uses-systembc-for-bot-powered-attacks/

목록