SOC Prime Bias: 심각

10 Dec 2025 16:28 UTC

Makop 랜섬웨어 인도 기업 공격: GuLoader 전달 및 권한 상승

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
Makop 랜섬웨어 인도 기업 공격: GuLoader 전달 및 권한 상승
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

Makop 랜섬웨어는 Phobos 계열의 변종으로, 노출된 원격 데스크톱 프로토콜(RDP) 서비스를 악용하고, 탐색, 수평 이동 및 권한 상승을 위해 상용화된 유틸리티를 활용하여 조직을 공격하고 있습니다. 이 캠페인은 GuLoader 다운로더와 여러 로컬 권한 상승 취약점 악용을 포함한 새로운 요소를 포함하고 있습니다. 공격자는 사용자 디렉토리에 오도성 있는 파일 이름으로 랜섬웨어 바이너리를 배포합니다. 주로 인도 기업을 대상으로 하며, 브라질과 독일에서도 활동이 관찰되었습니다.

조사

Acronis 위협 연구부는 최근 Makop 사례를 조사하고, RDP 무차별 대입 시도로 시작되어 네트워크 스캐닝, 인증 정보 덤핑, 여러 CVE 기반 권한 상승 취약점 실행으로 이어지는 반복 가능한 공격 체인을 매핑했습니다. GuLoader는 AgentTesla와 FormBook과 같은 추가 페이로드를 전달하는 데 사용되었습니다. 조사관들은 또한 보안 솔루션을 무력화하는 데 사용된 AV 킬링 도구, 취약한 드라이버, 사용자 정의 제거 도구도 문서화했습니다.

완화

권장 방어 전략에는 RDP에서 다중 인증 강제 적용, 인터넷에 노출된 모든 RDP 엔드포인트 제거, 모든 참조된 CVE에 대한 패치 적용, 알려진 로더 바이너리 및 AV 킬러 유틸리티 모니터링, 수상한 스크립트 실행을 차단하기 위한 엔드포인트 탐지 사용 등이 포함됩니다. Windows Defender 서명을 최신 상태로 유지하고 서명되지 않았거나 신뢰할 수 없는 드라이버 사용을 제한하면 관찰된 기술에 대한 노출을 더욱 줄일 수 있습니다.

대응

활동이 감지되면 즉시 영향을 받은 호스트를 격리하고, GuLoader 또는 수상한 다운로더 프로세스를 종료하며, 분석을 위해 휘발성 메모리를 캡처하십시오. 잠재적인 인증 정보 덤핑을 종합적으로 검토하고, 알려진 악성 파일 해시와 파일 이름을 차단하며, 악용된 CVE를 보안하십시오. 가능할 경우 인증된 백업에서 암호화된 데이터를 복구하고, 적절한 사건 대응 및 관리 팀에 경고하십시오.

공격 흐름

시뮬레이션 실행

전제 조건: Telemetry & Baseline Pre‑flight Check가 통과되어야 합니다.

합리성: 이 섹션은 탐지 규칙을 촉발하기 위해 설계된 적대 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서사는 식별된 TTP를 직접 반영해야 하며, 탐지 논리에서 기대하는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.

  • 공격 서사 및 명령어:

    1. 준비:공격자는 악성 버전의ThrottleStop.sys을 입수하여, CVE‑2025‑7771을 악용하여 권한 상승을 시도합니다.
    2. 배포:드라이버는 시스템 드라이버 디렉토리(C:WindowsSystem32drivers).
    3. 실행:을 사용하여sc.exe로 악성 드라이버를 로드하는 서비스를 만들어 프로세스를 SYSTEM으로 상승시킵니다.
    4. 포스트 에스컬레이션:상승된 토큰으로 공격자는 고급 권한 계정을 사칭할 수 있지만(T1134.005), 이 단계는 이 규칙의 범위를 벗어납니다.
  • 회귀 테스트 스크립트:

    # ----------------------------------------------------------------
    # ThrottleStop.sys 악용 시뮬레이션 (CVE-2025-7771)
    # ----------------------------------------------------------------
    $driverPath = "$env:SystemRootSystem32driversThrottleStop.sys"
    
    # 1. 악성 드라이버 드롭 (여기서는 플레이스홀더 복사본 사용)
    Write-Host "[*] $driverPath에 악성 ThrottleStop.sys 복사 중"
    # 실제 테스트에서는 소스를 실제 악성 바이너리로 교체하십시오.
    Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force
    
    # 2. 커널 서비스로 드라이버 등록
    Write-Host "[*] 드라이버를 위한 서비스 생성 중"
    sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null
    
    # 3. 드라이버 시작 (Sysmon ImageLoad 트리거)
    Write-Host "[*] 드라이버 서비스 시작 중"
    sc.exe start ThrottleStopSvc | Out-Null
    
    Write-Host "[+] 드라이버 로드 완료 – 탐지 규칙 트리거될 수 있습니다."
    # ----------------------------------------------------------------
  • 정리 명령어:

    # 악성 드라이버 서비스를 중지하고 삭제합니다.
    sc.exe stop ThrottleStopSvc | Out-Null
    sc.exe delete ThrottleStopSvc | Out-Null
    
    # 드라이버 파일 제거
    Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force
    
    Write-Host "[*] 정리 완료."