파이썬 기반 백도어 활용해 네트워크 장악 후 랜섬웨어 배포 공격 발견돼
최근 사이버 보안 연구원들은 파이썬(Python) 기반 백도어를 이용해 네트워크에 침투하고, 이후 랜섬웨어 ‘RansomHub’를 배포한 정교한 공격 사례를 공개했다. 이 공격은 ‘소크골리쉬(SocGholish, 일명 페이크업데이트)’라는 자바스크립트(JavaScript) 기반 악성코드로 초기 침투가 이루어진 것으로 나타났다. 분석 내용을 살펴보면 다음과 같다.
소크골리쉬는 2017년부터 활동해온 악성코드로, 주로 드라이브 바이 다운로드(Drive-by Download) 방식을 통해 피해자의 컴퓨터에 접근한다. 이번 사례에서도 사용자들은 가짜 브라우저 업데이트를 가장한 사이트로 유도되어 소크골리쉬를 다운로드하게 된다. 소크골리쉬가 실행되자, 공격자는 제어 중인 서버와의 연결을 통해 추가적인 악성 페이로드를 다운로드했다.
소크골리쉬 감염 후 약 20분 만에 공격자는 파이썬으로 작성된 백도어를 피해 시스템에 배포했다. 이 백도어는 리버스 프록시(Reverse Proxy)로 작동하며, 하드코딩된 IP 주소와 연결한 뒤 SOCKS5 프로토콜 기반 터널을 생성했다. 이를 통해 공격자는 피해 시스템을 프록시로 사용하여 네트워크 내 다른 장치로 RDP(Remote Desktop Protocol) 세션을 통해 이동할 수 있었다.
이번 공격에 사용된 파이썬 스크립트는 세부적인 구조와 뛰어난 가독성을 자랑했다. 연구원들은 이 코드를 분석하며, 코드 작성자가 세밀한 프로그래밍에 능숙하거나 인공지능(AI) 도구의 도움을 받아 개발했을 가능성을 제기했다. 메서드와 변수명은 매우 상세했고, 에러 처리와 디버그 메시지도 상세하게 포함돼 있었다. 또한 탐지를 피하기 위한 난독화 기법이 지속적으로 발전된 점도 확인됐다.
공격자는 백도어를 통해 확보한 네트워크 접근 권한을 활용해 ‘랜섬허브(RansomHub)' 랜섬웨어를 네트워크 전반에 배포했다.
이번 사례는 사회공학적 기법과 정교한 악성코드 배포 전략을 결합한 사이버 공격이 점점 진화하고 있음을 보여준다.