모의 해킹 도구 어댑틱스, 러 랜섬웨어 조직들이 애용

모의 해킹 도구로서 개발된 솔루션이, 실제 해킹 공격에 악용되고 있다는 사실이 밝혀졌다. 보안 기업 사일런트푸시(Silent Push)가 자사 블로그를 통해 공개한 내용에 따르면 “러시아의 랜섬웨어 그룹들이 어댑틱스(Adaptix)라는 모의 해킹 도구를 진짜 해킹에 활용하고 있다”고 한다. 카운트로더(CountLoader)라는 새로운 악성코드가 이 방법을 통해 퍼지는 중이라는 경고도 같이 나왔다.

“원래는 카운트로더가 퍼지고 있다는 걸 먼저 탐지했습니다. 새로운 악성코드였기 때문에 본격적으로 추적하기 시작했는데, 그 과정에서 어댑틱스가 연루돼 있다는 사실을 알게 됐습니다. 흥미가 생겨 더 깊이 조사하기 시작했고, 어댑틱스의 흔적이 있는 다른 여러 공격 캠페인을 발견할 수 있었습니다. 적잖은 사이버 범죄자들이 이미 어댑틱스를 실제 공격 도구로서 활용하고 있는 듯한 분위기입니다.” 사일런트푸시 측의 설명이다.

카운트로더 캠페인

어댑틱스에 대한 이야기를 더 진행하기 전에 카운트로더가 어떻게 됐는지부터 짚고 넘어가도록 하자. 사일런트푸시가 조사한 바에 따르면 현재까지 자신들이 발견한 카운트로더 캠페인은 두 가지였다고 한다. 둘 다 우크라이나 경찰을 사칭한 피싱 이메일을 통해 퍼지고 있었는데, 하나는 PDF 포맷의 가짜 통지서가 첨부돼 있었고, 이를 다운로드 해 실행시킬 경우 카운트로더가 설치되는 식으로 공격이 진행됐다. 

두 번째 역시 가짜 통지서 파일이 동원됐는데, 그 안에는 카운트로더 외에도 정보 탈취 멀웨어인 아마테라(Amatera)와 채굴 코드인 퓨어마이너(PureMiner)가 숨겨져 있었다. 피해자 시스템에 설치된 카운트로더가 정확히 어떤 공격을 이어갔는지는 정확히 공개되지 않았으나, 배후에 랜섬웨어 조직들이 있던 것으로 보아 랜섬웨어가 유포됐을 가능성이 높아 보인다.

어댑틱스?

어댑틱스는 모의 해킹 도구라고는 하지만, 인지도가 높은 편은 아니다. 보다 잘 알려진 것들에는 메타스플로잇(Metasploit), 코발트스트라이크(Cobalt Strike), 앤맵(Nmap), 와이어샤크(Wireshark), 슬리버(Sliver) 등이 있다. 코발트스트라이크는 해커들이 더 좋아할 정도로 이제는 해킹 도구로 통용되는 수준이고, 메타스플로잇과 슬리버 역시 실제 해킹 공격에 악용되는 사례가 빠르게 증가 중이다. 어댑틱스는 이런 도구들에 비해 비교적 낯선 편이다.

그래서인지 어댑틱스의 개발자가 누구인지도 정확하지 않은데, 사일런트푸시가 이번에 발표한 내용에 따르면 라프해커(RalfHacker)라는 온라인 ID로 활동하는 인물이 어댑틱스 개발자로 추정된다고 한다. 본명은 지금으로서 알 수 없는 상황이다. 다만 러시아어 텔레그램 채널을 통해 어댑틱스를 홍보 및 판매하는 중이라고 한다. “어댑틱스가 현재 러시아 해커들과 연계돼 있는 것도 이 때문인 것으로 보입니다. 아직 다른 나라 해커들이 어댑틱스를 접하기는 힘들었을 겁니다.”

어댑틱스의 정식 기능은 무엇일까? 홍보에 따르면 다음과 같다.
1) 침투 테스트 이후의 악성 공격 시뮬레이션(post-exploitation)
2) 공격자 시뮬레이션
즉, 가짜 공격자가 되는 게 주요 기능이라고 할 수 있는데, 공격자들이 이를 진짜로 둔갑시킨 것이다. 기본적으로 고 언어로 작성됐으나 일부 C++로 개발된 부분도 존재한다. 리눅스, 윈도, 맥OS 모두와 호환된다. 이 역시 공격자들이 선호할 만한 특징이라 할 수 있다.

모의 해킹 도구가 진짜 해킹 도구로

모의 해킹을 위해 개발된 도구가 실제 해킹에 활용된 사례는 점점 늘어나는 중이다. 그런 면에서 대표적인 도구들을 정리하면 다음과 같다.

1) 코발트스트라이크 : 레드팀 훈련용 도구였으나, 지금은 랜섬웨어 공격과 데이터 탈취 캠페인 등에 널리 사용된다. 특히 비컨(Beacon)이라는 구성 요소가 가장 많이 악용된다.

2) 미미캐츠(Mimikatz) : 윈도 메모리에서 크리덴셜을 추출하는 모의 해킹 도구였으나, 해커들이 커스터마이징을 해 실제 해킹 도구로 활용하는 중이다. 

3) 메타스플로잇 : 수많은 익스플로잇 및 악성 페이로드 모듈을 제공하는 침투 테스트 전문 도구였고, 지금은 공격자들이 이 강력함을 적극 이용하고 있다. 

4) 파워셸 엠파이어(PowerShell Empire) : 파워셸 기반의 포스트익스플로잇 공격 도구로 레드팀 훈련용이었다. 하지만 여러 APT 조직들이 이 도구를 커스터마이징 해 활용하기도 했었다. 

5) 브루트라텔(Brute Ratel) : 레드팀을 위한 도구로, 특히 EDR 회피 기능이 뛰어난 것으로 유명했다. 하지만 공격자들이 적극 활용하기 시작하면서 오히려 공격자들에게 공격 지속성과 탐지 회피력을 제공하게 됐다.

6) 슬리버 : C&C 공격을 시뮬레이션하는 기능을 가진 모의 해킹 도구이나, 최근 공격자들 편에서 널리 사용하기 시작했다. 특히 탐지와 대응을 회피하는 기능이 뛰어나 공격자들에게 사랑을 받고 있다.

이러한 해킹 도구들은 ‘실제 해킹’과 매우 유사한 기능을 제공하기 때문에 해커들의 관심을 끈다. 하지만 그것만이 이유는 아니다. 누군가 크랙된 버전을 퍼트리기 시작하면서 이 도구들의 커스텀 버전들이 다양하게 등장한 것도 매우 크게 작용했다. 어떤 도구들은 아예 처음부터 무료라, 악의적 커스터마이징을 구조적으로 막을 수 없기도 하다. 무엇보다 공식적으로는 ‘보안 도구’이기 때문에 탐지 도구들이 ‘정상’으로 인식한다는 것도 공격자들에게는 매력적으로 다가간다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Russian Hackers Exploit Adaptix Pentesting Tool in Ransomware Campaigns, HackRead, 2024년
• Beyond Cobalt Strike: A New Open-Source Hacking Tool Is on the Rise, SecurityOnline, 2024년
• AdaptixC2: Open-source tool used in real-world attacks, LinkedIn, 2024년
• Adaptix Framework Abused by Cybercriminals with Russian Ties, Including Akira Ransomware, Technadu, 2024년

랜섬웨어 그룹 메두사, 대형 통신사 컴캐스트 침해

💡Editor’s Pick - 랜섬웨어 메두사, 컴캐스트 침해 주장 - 컴캐스트는 아직 묵묵부답에 침묵 - 각종 금융 및 보험 관련 내부 정보 유출된 듯 악명 높은 랜섬웨어 그룹 메두사(Medusa)가 대형 통신 및 엔터테인먼트 기업인 컴캐스트(Comcast)를 공략하는 데 성공한 것으로 보인다. 메두사가 다크웹에 마련된 자신들의 사이트를 통해 주장한

The Tech Edge문가용 기자

러시아 해커들의 인공지능 활용 수준, 점점 높아져

💡Editor’s Pick - 우크라이나 겨냥해 하이브리드전 수행 중인 러시아 - 최전방만이 아니라 후방의 민간인들까지 노리는 해킹 공격 - 인공지능과 유명 웹 서비스의 악용 점점 심해져 러시아 해커들이 인공지능을 공격에 적극 활용하고 있다고 우크라이나 정부가 공개했다. 그런 움직임 자체는 새로울 게 없지만, 그 활용의 수준이 올해 상반기에 크게 높아졌다는 게 이번

The Tech Edge문가용 기자