Loading...
반응형

최근 보안 업계에서 “이건 그냥 랜섬웨어가 아니라, 거의 APT급”이라는 평가를 받는 새로운 위협이 나타났습니다.
이름하여 Charon 랜섬웨어입니다.
이름은 그리스 신화에서 영혼을 저승으로 실어 나르는 뱃사공 ‘카론’에서 따왔는데요,
실제로도 감염된 조직의 데이터를 ‘저승길’로 보내버릴 만큼 파괴적인 성격을 가지고 있습니다.

🛰️ 1. 어디서 등장했나?

Trend Micro 조사에 따르면, 2025년 중동 지역 공공기관항공 산업에서 처음으로 발견됐습니다.
특히 이번 공격은 그냥 무차별 유포형 랜섬웨어가 아니라, 특정 조직을 겨냥한 맞춤형 타깃 공격이었어요.

🕵️ 2. Charon의 공격 흐름 (Attack Chain)

Charon이 사용하는 기법을 보면, 이건 단순 범죄자가 아니라 APT 그룹 스타일입니다.

① DLL 사이드로딩(DLL Sideloading)

  • 합법적인 Edge.exe(사실은 이름만 그렇게 바꾼 cookie_exporter.exe)를 실행
  • 옆에 둔 악성 DLL(msedge.dll, 코드명 SWORDLDR)이 같이 로드되면서 악성 코드 실행
  • 이렇게 하면 보안 솔루션 입장에서 ‘정상 프로세스’로 보이기 때문에 탐지가 어려움

💡 DLL 사이드로딩이란?
원래 프로그램이 필요한 DLL을 로드할 때, 공격자가 같은 이름의 악성 DLL을 같은 폴더에 두면, 운영체제가 그것을 먼저 불러오는 취약성을 이용하는 기법이에요.

② 프로세스 인젝션(Process Injection)

  • 악성 DLL이 Charon 랜섬웨어 페이로드를 복호화 후,
    새로 생성된 svchost.exe 프로세스에 주입
  • 이렇게 하면 마치 윈도우 서비스처럼 위장 → EDR, 백신 우회 가능

③ 2단계 암호화 페이로드 로딩

  • 겉으로는 평범한 로그 파일(DumpStack.log)처럼 보이지만, 사실 암호화된 쉘코드 저장
  • DLL이 이 파일을 읽어 1차 복호화 → 중간 페이로드에서 2차 복호화
  • 최종적으로 랜섬웨어 본체 실행

💡 왜 이렇게 복잡하게 할까?
보안 분석가가 페이로드를 바로 분석하지 못하게 다단계 암호화로 시간 벌기 + 탐지 회피 목적

🕵️‍♂️ 3. APT 그룹 Earth Baxia와의 연관성?

Trend Micro는 이번 공격의 기술적 패턴이 중국계 APT 그룹 Earth Baxia(APT41, Wicked Panda)와 유사하다고 밝혔습니다.

  • 같은 방식의 DLL + 바이너리 체인 사용
  • 암호화된 쉘코드 전달 기법 유사

하지만, 맞춤형 랜섬 노트에서 피해 조직의 실명을 언급하는 등, 전형적인 국가 지원형 스파이 활동과는 조금 다른 모습도 보여 “직접 연계인지, 모방인지”는 확실치 않습니다.

📉 4. 왜 위험한가?

기존 랜섬웨어는 데이터만 암호화하고 금전 요구 → 피해자는 백업으로 복구 가능
Charon은 여기에 APT급 기술을 결합해:

  • 탐지 회피: 보안 솔루션 무력화
  • 네트워크 내 확산: 서버·공유폴더까지 침투
  • 복구 지연: 복호화 키 없이는 거의 불가능

🛡️ 5. 방어 전략

Trend Micro와 보안 전문가들이 권고하는 대응책은 다음과 같습니다.

① DLL 사이드로딩 차단

  • 실행 파일이 임의의 DLL을 불러오지 못하도록 경로 제어
  • 특히 C:\Program Files, %TEMP% 폴더 등 악용 빈도가 높은 경로 모니터링

② 의심스러운 프로세스 체인 감시

  • Edge.exe → 알 수 없는 DLL → svchost.exe 실행 같은 패턴 경고
  • 서명된 실행 파일이 비정상 DLL을 로드하는 경우 차단

③ EDR·백신 무력화 방지

  • 보안 솔루션 자체 보호(Self-Defense) 기능 활성화
  • 관리자 권한 없이 서비스 중단·삭제 불가하도록 설정

④ 네트워크 세분화

  • 워크스테이션 ↔ 서버 ↔ 파일 공유 경로를 최소화
  • 랜섬웨어가 lateral movement(측면 이동) 못 하게 막기

📌 결론

Charon은 “APT와 랜섬웨어의 결합”이라는 무서운 트렌드를 보여주는 사례입니다.
이제 랜섬웨어 공격자는 단순 금전 갈취에서 벗어나, 정교한 스파이 기술까지 흡수하고 있어요.
조직은 기존 랜섬웨어 대응 수준으로는 부족하며, APT 대응 수준의 보안 체계가 필수입니다.

반응형
저작자표시 동일조건 (새창열림)

'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글

🚨 Fortinet SSL VPN, 사상 최대 무차별 대입 공격 급증! – 새로운 취약점 전조인가?  (6) 2025.08.13
🔐 Ivanti, Connect Secure·Policy Secure·ZTA Gateway 긴급 보안 패치 발표! – 원격 DoS 취약점 4종 수정  (2) 2025.08.13
🐍 PyPI, ZIP 파서 혼동 공격 막는다! 파이썬 생태계 보안 강화 소식  (2) 2025.08.11
🖋️ eudcedit.exe로 UAC 우회? 윈도우 권한 상승 취약점 발견!  (4) 2025.08.11
🔓 BitUnlocker: Windows BitLocker를 무력화한 4가지 치명적 취약점  (4) 2025.08.11

티스토리툴바