Epsilon Red 랜섬웨어 탐지: ClickFix를 통한 전 세계 사용자 대상 새로운 공격 캠페인
목차:
수정된 ClickFix 변형인 FileFix를 통해 전달된 새로운 맞춤형 RAT를 사용한 Interlock 랜섬웨어 공격에 이어, ClickFix 테마의 악성 코드 배포 웹사이트를 활용하는 새로운 악성 캠페인이 등장했습니다. 보안 전문가들은 2025년 7월부터 시작된 전 세계적인 Epsilon Red 랜섬웨어 작전을 발견했으며, 공격자들은 가짜 ClickFix 인증 페이지를 사용하고 다수의 인기 플랫폼을 가장해 사용자를 속이고 있습니다. 이 캠페인은 사회공학 기법을 활용하여 피해자에게 ActiveX를 통해 악성 HTA 파일 실행을 유도하며, 은밀한 페이로드 전달과 랜섬웨어 실행을 촉발합니다.
Epsilon Red 랜섬웨어 공격 탐지
2025년 1분기, Check Point는 랜섬웨어 공격이 126% 급증했다는 사실을 관찰했으며, 일평균 사건 수는 275건으로 전년 대비 47% 증가했습니다. Symantec의 The State of Ransomware 2025 보고서에 따르면, 조직들이 노출되는 주요 운영 취약점 중 40.2%가 내부 전문성 부족으로, 40.1%는 확인되지 않은 보안 격차, 39.4%는 인력 부족이나 역량 부족 때문인 것으로 나타났습니다.
새로운 랜섬웨어 변종과 ClickFix 기법과 같은 신종 전달 방식을 위협 행위자들이 계속 사용함에 따라, 사이버 방어자는 신속하고 고품질의 탐지 콘텐츠와 첨단 보안 도구에 의존해야 급변하는 위협 환경에 대응할 수 있습니다.
SOC Prime 플랫폼에 등록하면 Epsilon Red 랜섬웨어와 같은 잠재적 위협을 조기에 탐지할 수 있습니다. 이 플랫폼은 AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 고급 위협 탐지를 지원하는 완벽한 제품군과 함께 적시의 위협 인텔리전스 및 실행 가능한 탐지 콘텐츠를 제공합니다. 아래의 탐지 탐색 버튼을 클릭하여 Epsilon Red 랜섬웨어 활동을 식별 및 대응하기 위한 엄선된 탐지 규칙 모음을 확인할 수 있습니다.
SOC Prime 플랫폼 내 모든 규칙은 다수의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한 각 규칙은 위협 인텔 참조, 공격 타임라인, 트리아지 권장 사항 등 상세한 메타데이터를 포함합니다.
필요에 따라 사이버 방어자는 “랜섬웨어” 태그를 적용하여 전 세계 랜섬웨어 공격을 포괄하는 더 폭넓은 탐지 규칙을 사용할 수 있습니다.
또한, 보안 전문가들은 Uncoder AI를 이용해 위협 인텔에 기반한 탐지 엔지니어링을 지원하는 개인용 IDE 겸 코파일럿으로 위협 보고서에서 탐지 알고리즘을 생성하고, 신속한 IOC 검사, ATT&CK 태그 예측, AI 팁을 통한 쿼리 코드 최적화, 다수 SIEM/EDR/데이터 레이크 언어 간 번역 기능을 활용할 수 있습니다. 예를 들어, 보안 전문가들은 CloudSEK의 TRIAD 팀 연구를 기반으로 클릭 몇 번만에 공격 흐름 다이어그램을 생성할 수 있습니다.
Epsilon Red 랜섬웨어 공격 분석
2021년 5월, Sophos 연구진은 미국 소재 호스피탈리티 기업 사건을 조사하는 과정에서 Epsilon Red이라는 새로운 랜섬웨어 변종을 식별했습니다. Go 언어로 개발되고 64비트 Windows 바이너리로 컴파일된 이 악성코드는 파일 암호화에만 집중하며, 시스템 준비 및 실행 등 다른 공격 작업은 10개 이상의 PowerShell 스크립트에 위임합니다. 비교적 단순한 난독화에도 불구하고, 이 스크립트들은 대부분의 주류 안티바이러스 솔루션을 효과적으로 회피했습니다. 몸값 메모는 REvil 그룹이 사용하는 스타일과 문법과 유사성을 보여 연관 가능성을 시사하지만, 악성코드 기술 및 운영 인프라는 독특합니다.
CloudSEK의 TRIAD 팀은 최근 Epsilon Red 랜섬웨어와 연관된 ClickFix 스타일 악성코드 배포 사이트를 발견했으며, 해당 랜섬웨어는 아직 활발히 개발 중입니다. 이전 변종들은 클립보드 기반 페이로드 실행에 의존했으나, 이번 캠페인은 사용자들을 2차 페이지로 유도하여 ActiveX를 통한 악성 셸 명령을 은밀히 실행, 공격자 제어 IP에서 페이로드 다운로드 및 실행을 가능하게 합니다. 이 캠페인은 합법적으로 보이도록 가짜 인증 요청 같은 기만 전술을 사용합니다. 인프라 분석 결과 Discord Captcha Bot, Kick, Twitch, OnlyFans 등 스푸핑 서비스와 로맨스 테마의 사회공학 유인책이 포함되어 있음이 밝혀졌습니다.
이 캠페인은 웹 브라우저를 통한 엔드포인트 침해라는 심각한 위험을 내포합니다. ActiveXObject 인터페이스를 악용해 사용자의 브라우저 세션 중 원격으로 악성 코드 실행이 가능해 표준 다운로드 방어를 우회합니다. 이 기법은 시스템 내부 깊숙한 침투, 측면 이동, 궁극적인 랜섬웨어 배포로 이어질 수 있습니다.
위협을 가중시키는 요소로, 공격자는 Discord CAPTCHA와 인기 스트리밍 플랫폼 등 익숙한 서비스를 모방해 사용자 의심을 낮추고 사회공학의 효과를 극대화합니다. ClickFix 클론과 로맨스 관련 유인책 등 테마형 악성코드 배포 사이트의 반복 사용은 체계적이고 지속적인 위협 운영임을 시사합니다.
Epsilon Red 랜섬웨어 완화 방안으로는 그룹 정책을 통해 모든 시스템에서 ActiveX 및 Windows Script Host와 같은 레거시 스크립팅 인터페이스를 비활성화하는 것이 권장됩니다. 또한, 실시간 위협 인텔 피드를 통합하여 ClickFix 관련 공격자의 IP, 도메인, IOC를 차단하는 것이 중요합니다. 정기적인 보안 인식 교육을 통해 Discord, Twitch 등 인기 플랫폼을 가장한 위협 시나리오를 시뮬레이션해 사용자들이 가짜 인증 페이지 및 사회공학 유인책을 인식하고 회피할 수 있도록 준비시켜야 합니다. 규모와 복잡도가 증가하는 랜섬웨어 및 기타 신종 위협에 선제 대응하려면, AI, 자동화, 실시간 CTI가 지원하는 SOC Prime의 완전한 제품군을 활용하여 방어력을 대규모로 강화할 수 있습니다.