Yanluowang 랜섬웨어 그룹, 소스코드와 내부 채팅 메시지 유출돼

 

개요

10월 31일, 트위터의 한 사용자(@yanluowangleaks)가 얀루오왕(Yanluowang) 랜섬웨어 그룹의 내부 채팅 메시지, 복호화 및 빌더의 소스코드를 유출했습니다. Yanluowang 그룹이 운영하는 다크웹 사이트에는 매트릭스 채팅(분산 대화 저장소)이 해킹되었다는 글이 게시되었습니다. 올해, Yanluowang 그룹은 Conti 랜섬웨어 그룹에 이어 내부 정보가 유출된 두 번째 랜섬웨어 그룹입니다.

[그림 1] Yanluowang 그룹 다크웹 사이트

 

Yanluowang 랜섬웨어

2021년 10월  Symantec Threat Hunter Team이 처음 발견한 Yanluowang 랜섬웨어는 적어도 8월부터 미국의 금융 부문 조직 등 거대 기업을 노린 타깃 공격을 시작한 것으로 나타났습니다. Yanluowang 랜섬웨어는 지난 5월, 글로벌 IT 업체 Cisco를 해킹해 내부 정보 2.8GB를 훔쳐 크게 알려졌습니다. Yanluowang 랜섬웨어는 시스코 한 명의 개인 구글 개정을 침해한 뒤, 이를 통해 시스코 직원 계정 크리덴셜을 훔치는 데 성공하고 보이스피싱을 통해 해당 직원의 다중 인증을 통과해 VPN까지 도달한 것으로 밝혀졌습니다. 

 

보안 업체 시만텍(Symantec)에 의하면, Yanluowang 랜섬웨어는 공격에 사용된 TTP로 미루어볼 때 Fivehands 그룹(UNC2447로도 알려짐)에서 개발한 Thieflock 랜섬웨어와 관련 있는 것으로 조사되었습니다. Thieflock과 Yanluowang을 운영하는 것으로 의심되는 자들은 Fivehands 혹은 Canthroid라고 불리는 자들로, ‘서비스형 랜섬웨어(Raas)’ 사업을 다크웹에서 운영하고 있습니다.

 

유출 데이터

(1) 내부 채팅 메시지

트위터를 통해 총 6개의 json 포맷의 내부 채팅 메시지 파일이 유출되었습니다. 

[그림 2] 매트릭스 채팅 메시지 유출

 

Yanluowang이라는 이름은 중국 신화의 인물 Yanluo Wang의 이름을 따서 지어졌으며 가짜 중국인 페르소나를 이용했지만, 모든 내부 채팅에서 러시아어를 사용한 것이 확인되었습니다. 유출된 파일은 2개의 개인 채팅 메시지와 4개의 그룹 채팅 메시지로 2022년 1월 9일의 내역입니다. 유출 파일명은 다음과 같습니다.

- coder-saint.json

- stealer-felix.json

- hello1.json

- hello2.json

- hello3.json

- hello4.json

 

해당 채팅 메시지는 매트릭스 채팅 서버로부터 유출된 것으로 보이며, 확인되는 매트릭스 User Name은 [표 1]과 같습니다.

@killanas	@saint	@stealer	@djonny
@calls	@felix	@win32	@nets
@seeyousoon	@shoker	@coder	@ddos
@gykko	@loader1	@guki	@shiwa
@zztop	@al	@coder0

[표 1] 유출된 채팅 메시지에서 확인되는 매트릭스 User Name

 

유출된 채팅 메시지에는 REvil 랜섬웨어 일원의 체포 기사에 대한 채팅도 포함되어 있습니다. Yanluowang RaaS를 담당하는 핵심 구성원 @saint는 러시아어로 작성된 REvil 랜섬웨어 일원 체포 기사 링크를 공유하며 다음과 같이 말했습니다.

“Пятеро фигурантов — бывшие одноклассники”

“체포된 용의자 중 5명은 내 전 동창생”

 

KELA의 분석에 따르면 첫 번째 개인 채팅(coder-saint.json)은 Yanluowang의 메인 멤버 'saint'와 코드 할당을 처리하는 'killanas'의 대화가 포함되어 있으며, Yanluowang 그룹 조직원들이 코딩에 서툴다는 점이 드러났습니다. 이런 점 때문에, Kaspersky는 지난 4월 Yanluowang 랜섬웨어 암호화 알고리즘에서 취약점을 찾아 무료 복호화 도구를 출시했습니다. 또한 이 대화에서 Yanluowang 랜섬웨어는 2021년 10월 이후부터 존재한 것으로 추정되며, Symantec이 처음 Yanluowang의 활동을 보고한 시기와 거의 일치합니다. "Saint"는 Yanluowang에서 사용 중인 것으로 보이는 Nyx 랜섬웨어(2022년 6월에 발견됨)를 언급했습니다.

 

두 번째 개인 채팅(stealer-felix.json)은 "stealer"와 "felix"간의 대화로 Yanluowang의 ESXi 버전이 개발 중임을 알 수 있습니다. 이러한 공격 방식은 최근 VMware가 “파괴적인 위협(a devastating threat)”이라고 언급하기도 했습니다. 또한 그룹 채팅에서 2022년 5월 14일 "saint"는 Yanluowang 그룹에서 2022년에 100만 달러를 받았다는 것을 알았습니다.(그룹의 총수익인지 최고 몸값인지 명확하지 않습니다.)

[그림 3] stealer-felix 대화 中 일부

 

(2) 소스 코드

트위터에는 복호화 도구와 빌더의 소스코드라고 주장하는 관련 스크린샷이 게시되었습니다.

[그림 4] 복호화 도구 및 빌더의 소스코드 스크린샷

 

IoC

C&C 서버 인프라 관련 도메인

hxxp://mtololo.com - 81.19.72[.]59

hxxp://matrix.mtololo.com - 62.113.100[.]124

랜섬웨어 공격 관련 도메인

hxxp://api.views-24.ru

hxxp://lohicageeg.beget.app

hxxp://fr124.aha.ru

hxxp://aktiver-id.fun

hxxp://aktiver-bankid.website

hxxp://matrix.mtololo.com

 

참고 자료

[1] https://twitter.com/yanluowangleaks

[2] https://www.th3protocol.com/2022/Yanlouwang-Leaks

[3] https://twitter.com/Intel_by_KELA/status/1587123877041381376 

 

 

보안관제센터 MIR Team