홈으로 돌아가기

랜섬웨어 공격자, QEMU를 통해 공격 은닉: 보호 방법

본 기사는 QEMU 가상 머신을 사용하여 악성 활동을 은닉하는 새로운 랜섬웨어 기술을 분석합니다. Payouts King 캠페인 및 CitrixBleed 2 취약점을 통한 공격을 검토하고, 탐지 및 보호를 위한 권장 사항을 제공합니다.

랜섬웨어, 가상 머신에 숨다: 새로운 QEMU 위협
Advertisement 728x90

랜섬웨어 그룹, QEMU 기반 가상 머신으로 악성 활동 은폐

랜섬웨어 그룹이 보안 시스템으로부터 자신들의 행동을 숨기기 위해 가상화를 점점 더 많이 사용하고 있습니다. Payouts King 랜섬웨어 및 기타 사이버 범죄 그룹의 운영자들은 감염된 호스트에 숨겨진 가상 머신을 배포하여 안티바이러스 및 EDR 솔루션을 우회합니다.

QEMU 공격 작동 방식

공격자는 오픈소스 QEMU 하이퍼바이저를 대상 시스템에 주입합니다. 가상 머신 내부에서는 Alpine Linux와 같은 경량 운영체제가 실행되며 호스트에 흔적을 남기지 않습니다. 원격 접속, 데이터 도난, 정찰 유틸리티를 포함한 모든 악성 도구는 이 격리된 환경 내에서 작동하여 호스트 OS 모니터링 도구에 보이지 않습니다.

이 접근 방식은 공격자에게 여러 이점을 제공합니다:

Google AdInline article slot
  • 악성 파일이 호스트 안티바이러스에 스캔되지 않습니다.
  • VM에서 시작된 네트워크 연결이 합법적인 QEMU 트래픽으로 나타납니다.
  • 모든 도구를 탐지 위험 없이 VM 내에서 실행할 수 있습니다.

두 가지 캠페인: Payouts King 및 Citrix 취약점을 통한 공격

Sophos 연구원들은 이 기술이 사용된 두 가지 사건을 문서화했습니다. 첫 번째 사례(STAC4713)에서는 Payouts King 랜섬웨어와 연계된 GOLD ENCOUNTER 그룹이 네트워크 지속성을 위해 QEMU를 사용했습니다. 두 번째 사례(STAC3725)는 NetScaler 장치의 CitrixBleed 2 취약점(CVE-2025-5777)을 악용한 것이었습니다.

캠페인 STAC4713: Payouts King

운영자들은 TPMProfiler라는 예약 작업을 생성하여 SYSTEM 권한으로 QEMU를 실행했습니다. 가상 디스크는 데이터베이스 파일이나 DLL로 위장되었습니다. VM 내부에는 사전 설치된 도구와 함께 Alpine Linux가 실행되었습니다:

  • AdaptixC2 — 명령 채널 관리용.
  • Chisel — 트래픽 프록시용.
  • BusyBox — 시스템 명령 실행용.
  • Rclone — 데이터 도난용.

초기 접근은 SonicWall VPN 또는 SolarWinds Web Help Desk(CVE-2025-26399)의 취약점을 통해 이루어졌습니다. 침투 후 공격자는 Volume Shadow Copy(VSS)를 사용하여 Active Directory에서 자격 증명을 추출하고 NTDS.dit, SAM 및 SYSTEM 파일을 복사했습니다.

Google AdInline article slot

캠페인 STAC3725: CitrixBleed 2를 통한 공격

이 공격에서 공격자는 NetScaler의 취약점을 악용한 후 ScreenConnect를 설치하여 원격 접속을 확보하고 Alpine Linux와 함께 QEMU를 배포했습니다. 첫 번째 캠페인과 달리 도구는 VM 내에서 수동으로 조립되었습니다. 여기에는 다음이 포함되었습니다:

  • Impacket — Windows 네트워크 프로토콜 작업용.
  • KrbRelayx — Kerberos 공격용.
  • BloodHound.py — Active Directory 분석용.
  • Metasploit — 사후 침투 작업용.

목표는 자격 증명 도난, 도메인 정찰, FTP를 통한 데이터 유출 준비였습니다.

주요 시사점

  • QEMU를 사용하면 랜섬웨어가 대부분의 호스트 보안 조치를 우회할 수 있습니다.
  • Payouts King은 유사한 사회공학 방법으로 보아 이전 BlackBasta 멤버와 연관될 가능성이 높습니다.
  • 랜섬웨어는 데이터에 AES-256, 키에 RSA-4096을 사용하며 속도를 위해 간헐적 암호화를 사용합니다.
  • 기업은 승인되지 않은 QEMU 설치, 의심스러운 SYSTEM 수준 작업, 비정상적인 SSH 터널을 모니터링하는 것이 좋습니다.

맥락 및 시사점

공격에서 가상화를 사용하는 추세가 증가하고 있습니다. 이전에는 3AM, LoudMiner 그룹과 CRON#TRAP 피싱 캠페인에서 유사한 방법이 사용되었습니다. 이러한 위협으로부터 방어하기 위해 조직은 하이퍼바이저 수준 모니터링을 구현하고, 소프트웨어 설치 권한을 제한하며, 행동 분석을 사용해야 합니다.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

다음 읽기