Albabat 랜섬웨어 그룹, Windows·Linux·macOS 겨냥한 다중 OS 확장 및 GitHub 기반 자동화 전략 분석

Albabat Ransomware Group Potentially Expands Targets to Multiple OS Uses GitHub to Streamline Operations

Albabat Ransomware Group Potentially Expands Targets to Multiple OS Uses GitHub to Streamline Operations

 

Albabat Ransomware Targets Windows, Linux, and macOS via GitHub Abuse

Albabat Ransomware Targets Windows, Linux, and macOS via GitHub Abuse

 

• Albabat 랜섬웨어 개요
  • Albabat은 금전적 동기를 가진 랜섬웨어 서비스형(RaaS) 그룹
  • 초기엔 Windows만을 대상으로 했으나 2025년에는 Linux 및 macOS까지 타깃 확장
  • GitHub를 활용하여 랜섬웨어 운영 효율화 및 감염 시스템 구성 데이터 관리
• 다중 운영체제 대상 공격 전략
  • Albabat v2.0 및 v2.5는 Windows, Linux, macOS에서 시스템 및 하드웨어 정보 수집
  • GitHub REST API를 통해 config.json을 다운로드하고 작동 파라미터 동적 설정
  • “Awesome App”이라는 User-Agent로 트래픽 위장
  • Linux/macOS용 하드웨어 정보 수집 스크립트 포함 및 실행
• 랜섬웨어 구성 파일 및 동작
  • 특정 폴더 및 파일(예: AppData, .DS_Store, ntuser.dat 등)은 암호화 제외
  • 암호화 대상 확장자는 약 100여 개로 구성되어 일반 파일부터 실행파일, 라이브러리, 글꼴 파일까지 포함
  • 작업 관리자, 명령 프롬프트, Office 앱, 브라우저, DB툴 등 다양한 프로세스 종료
  • 수집한 피해자 정보를 PostgreSQL 데이터베이스(aws-0-us-west-1.pooler.supabase.com)로 전송
• GitHub 악용 방식
  • billdev1.github.io 계정이 악용되어 config.json 제공 및 설정파일 관리
  • private repository를 사용하며 인증 토큰 기반으로 접근
  • 저장소 내 2.5.x 디렉토리에 신규 지갑 주소(BTC, ETH, SOL, BNB) 포함된 설정 확인
  • 현재까지 바이너리는 없으며 2.5 버전 개발 진행 중으로 추정됨
• 보안 권고
  • 접근제어 정책 강화 및 권한 최소화 적용
  • 시스템·소프트웨어 주기적 패치 및 최신 업데이트 적용
  • 중요 데이터에 대한 정기적 백업 및 복구 테스트 필수
  • 네트워크 분리 및 세분화하여 lateral movement 차단
  • 사용자 대상 피싱, 악성 첨부파일 인식 교육 정기 실시
  • AI 기반 위협탐지 및 사전대응 가능한 보안 플랫폼 도입 권고 (예: Trend Vision One)
  • IoC 지표에 기반한 내부 로그 탐색 및 이상 행위 사전 감지 필요
• 결론
  • Albabat는 GitHub를 이용한 클라우드 기반 C2 자동화로 위협 운영의 유연성과 은밀성 증대
  • 다중 운영체제 확장은 공격 표면 확대와 공급망 위험 증가로 이어짐
  • 기업은 단일 OS 중심 보안에서 벗어나 멀티 플랫폼 방어 전략 수립 필요
  • GitHub 등 개발 플랫폼 보안 정책 정비 및 접근 모니터링 체계 강화 요구됨