[보안뉴스 한줄요약] 러시아 해커들의 분문율을 깬 공격 단체, 올드그렘린

올드그렘린(OldGremlin)이라는 사이버 공격 그룹이 새롭게 발견됨.

 

올드그렘린 공격자들은 주로 랜섬웨어를 사용하고 있다.

 

드그렘린은 다양한 도구들을 사용해 사이버 공격을 실시함.

 

그 중 타이니포시와 타이니노드 라는 독자적 백도어들이 눈에 뜀.

 

이 두 가지의 멀웨어를 가지고 올드그렘린은 최초 침투를 성공 시킴.

 

한 러시아의 제악회사를 공격하고했다.

주요 매체인척 가장해 스피어피싱 이메일을 보냄.

이메일을 열렸고, 파일들은 모두 암호화 됨 올드 그렘린은 5만 달러의 돈을 요구함.

 

공격 이메일에는 zip 아카이브가 첨부되어 있었다.

‘영수증’이라는 이름이 붙었었고 보낸 사람은 주요 미디어 그룹사의 재무 담당 부서인 것처럼 꾸며져 있었음.

해당 아카이브안에 타이니 노드가 있었는데 윈도우 디펜터에 의해 20초만에 삭제 되었지만 그 20초당안 할일을 모두 마쳤기때문에 추가 공격의 발판을 다 갖추게됨.

코발트 스트라이크(Cobalt Strike)라는 프레임워크를 활용해 익스플로잇 이후의 악성 활동이 반드시 진행될 수 있도록 손을 쓰기도 함.

 

정찰을 충분히 해서 공격 효과가 가장 높을 것이라는 확신이 들면 랜섬웨어를 설치함. 이 랜섬웨어의 이름은 타이니크립터(TinyCryptor)