RedCurl Shifts from Espionage to Ransomware with First-Ever QWCrypt Deployment
- 위협 행위자 개요 및 과거 활동
- RedCurl은 러시아어 기반 APT 그룹으로 Earth Kapre 또는 Red Wolf로도 불리며, 2018년부터 활동 추적
- 과거 주요 목적은 기업 기밀 정보 수집을 위한 사이버 첩보 활동이었으며, 대상 국가는 캐나다, 독일, 노르웨이, 러시아, 영국, 미국 등 다수 포함
- 일반적으로 HR 테마의 스피어 피싱 이메일을 통해 초기 감염 유도
- 감염 절차 및 악성코드 로딩 방식
- ISO 디스크 이미지 파일을 ‘이력서(CV)’로 위장하여 피해자 유입 유도
- 내부에 존재하는 Windows 화면보호기(SCR)로 위장된 실행 파일은 실제로 Adobe의 합법적 바이너리인 ADNotificationManager.exe
- DLL 사이드로딩 기법으로 netutils.dll 실행 → 피해자 브라우저를 Indeed 로그인 페이지로 리디렉션하여 시선 분산
- 페이로드 기능 및 감염 확장
- netutils.dll은 백도어 DLL을 추가 다운로드하여 감염 단계 확장
- pcalua.exe (Program Compatibility Assistant)를 통해 백도어 실행 및 스케줄러 등록 통한 지속성 확보
- 확보한 시스템 권한으로 측면 이동(lateral movement) 및 권한 상승 수행
- QWCrypt 랜섬웨어 등장 및 특징
- RedCurl의 첫 랜섬웨어 사용 사례로 기존 정보 수집 중심 전술에서 금전 목적 공격으로 전환
- BYOVD (Bring Your Own Vulnerable Driver) 기법으로 엔드포인트 보안 우회
- 시스템 정보 수집 후 암호화 절차 수행, 하이퍼바이저 상의 가상 머신까지 암호화하여 전체 서비스 중단 유도
- 랜섬노트는 LockBit, HardBit, Mimic 랜섬웨어의 문구 재사용 → 공격 동기 또는 협력 관계 의심 가능성 제기
- 현재까지 데이터 유출용 전용 리크 사이트(DLS)는 확인되지 않음
- 결론
- RedCurl의 QWCrypt 배포는 기존의 스텔스형 사이버 첩보 활동에서 랜섬웨어 기반 금전 공격으로 전략 전환을 의미
- ISO 위장, DLL 사이드로딩, Adobe 실행 파일 악용, 백도어 삽입 및 스케줄러 기반 지속성 확보 등 고전적이면서도 효과적인 전술 사용
- BYOVD 기법 및 하이퍼바이저 기반 가상화 인프라 타격은 기업 대상 공격의 고도화된 전개 양상을 보여줌
- 랜섬노트 구성과 목적 불명확성은 금전 탈취 외에 혼란 유발 또는 첩보 전술과의 결합 가능성도 내포
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| IOCONTROL 악성코드 분석: 중요 인프라 제어권 탈취 및 원격 접근 위협 (0) | 2025.05.07 |
|---|---|
| COM 객체를 악용한 파일리스 악성코드 및 측면 이동 기법 분석 (0) | 2025.05.07 |
| Operation ForumTroll: Google Chrome 제로데이(CVE-2025-2783)를 악용한 APT 공격 분석 (0) | 2025.05.07 |
| 암호화 키를 활용한 IoT 및 AI 기기 보안 강화 전략 (0) | 2025.05.07 |
| 북한 Kimsuky 그룹의 최신 악성 스크립트 기반 정찰 및 정보 탈취 캠페인 분석 (0) | 2025.05.07 |