Interlock 랜섬웨어 탐지: 공격자가 FileFix를 통해 새로운 PHP 기반 RAT 배포
목차:
고영향의 이중 갈취(double-extortion) 공격으로 작동해 온 Interlock 랜섬웨어 운영 그룹의 위협 배우들이 사이버 위협 지형에 다시 등장했습니다. 공격자들은 최근 PHP 기반의 새로운 커스텀 RAT 변형을 대규모 캠페인에 배치했으며, 수정된 ClickFix 변형인 FileFix를 활용해 여러 산업의 조직을 표적으로 삼고 있습니다.
Interlock 랜섬웨어 공격 탐지하기
Verizon의 2025년 데이터 유출 조사 보고서(DBIR)에 따르면, 랜섬웨어는 전체 유출의 44%를 차지하며 전년의 32% 대비 증가 추세에 있습니다. 또한 2024년 평균 몸값은 200만 달러에 달해 공격자의 동기가 갈수록 높아지고 있습니다. Cybersecurity Ventures는 “2031년까지 랜섬웨어 공격이 2초마다 발생할 수 있다”고 경고하며, 이에 따라 **사전 위협 탐지의 중요성**이 그 어느 때보다 강조되고 있습니다.
SOC Prime 플랫폼에 등록하여 Interlock 랜섬웨어와 같은 위협을 초기 단계에서 탐지하세요. 본 플랫폼은 실시간 위협 인텔리전스와 실제 적용 가능한 탐지 콘텐츠를 제공하며, AI 기반 탐지 엔지니어링, 자동화 위협 헌팅, 고도화된 위협 탐지 기능을 포함하는 종합 제품군을 지원합니다. “탐지 탐색(Explore Detections)” 버튼을 클릭하여 Interlock 랜섬웨어 활동 식별 및 대응을 위해 특별 설계된 검출 규칙 모음을 확인할 수 있습니다.
SOC Prime 플랫폼에 포함된 모든 규칙은 다양한 SIEM, EDR, Data Lake 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 각 규칙에는 상세 메타데이터, 위협 인텔리전스 참조, 공격 타임라인, 트리아지 권장 사항 등의 컨텍스트 정보가 포함되어 있습니다.
또한, 사이버 방어자들은 동일한 탐지 플랫폼에서 “Ransomware” 태그를 적용하면, 전 세계 랜섬웨어 공격 탐지를 위한 폭넓은 규칙 세트를 활용할 수 있습니다.
추가적으로, 보안 전문가들은 Uncoder AI라는 사설 IDE 및 코파일럿을 통해 위협 인텔리전스 기반 탐지 엔지니어링 워크플로우를 최적화할 수 있습니다. 이 도구는 원본 리포트로부터 탐지 알고리즘 생성, IOC 빠른 검색, ATT&CK 태그 예측, AI 최적화 쿼리 생성 및 SIEM, EDR, Data Lake 간 규칙 자동 변환을 지원합니다. 예를 들어, The DFIR Report의 IOC 데이터를 선택한 SIEM/EDR 환경에 즉시 적용 가능한 고성능 쿼리로 변환할 수 있습니다.
Interlock 랜섬웨어 분석
Interlock 랜섬웨어 그룹은 비교적 최근에 등장했지만 빠르게 진화하고 있는 위협입니다. 2024년 9월 처음 확인된 이후 의료, 기술, 미국 공공부문 및 유럽 제조업 등 다양한 산업을 대상으로 한 고영향 이중 갈취 공격과 연관되어왔습니다.
The DFIR Report와 Proofpoint의 공동 분석에 따르면, 이 그룹은 자체 제작 RAT인 “NodeSnake”의 PHP 기반 변형을 개발 및 배포했습니다. 이름은 Node.js에서 파생되었지만, 이 PHP 변형은 2025년 5월 이후 LandUpdate808(별칭 KongTuke) 위협 클러스터와 연결된 대규모 캠페인에서 활동 중입니다. 공격자들은 ClickFix를 수정한 FileFix를 활용해 RAT을 투입하고 여러 산업에 악성 페이로드를 실행했습니다.
FileFix는 Windows 파일 탐색기 주소창 기능을 악용한 소셜 엔지니어링 기법을 활용해 발전했습니다. 피해자가 악성 명령을 복사-붙여넣기 하도록 유도함으로써, 전통적 다운로드 없이도 코드 실행을 가능하게 해 은폐성과 효율성을 높입니다.
이 캠페인은 손상된 웹사이트 내에 숨겨진 한 줄짜리 JavaScript 스니펫으로 시작됩니다. 이 스크립트는 트래픽 분배 시스템(TDS)처럼 작동하며, IP 기반 필터링 후 사용자를 가짜 CAPTCHA 페이지로 리다이렉션합니다. 피해자는 그곳에서 PowerShell 스크립트를 실행해 Interlock RAT를 받아 배포합니다. Node.js 및 PHP 기반 변형이 모두 관찰되었습니다.
배포된 RAT는 감염 시스템에서 현황 정보를 수집하고 JSON 형식으로 외부 서버에 전송합니다. 이어서 권한 수준(USER, ADMIN, SYSTEM)을 검사하고, 원격 서버 연결을 통해 추가 페이로드(EXE 또는 DLL)를 다운로드 및 실행합니다.
지속성 확보를 위해 이 RAT는 Windows 레지스트리를 수정하며, 네트워크 내 횡적 이동을 위해 RDP(Remote Desktop Protocol)를 사용합니다.
NodeSnake의 특징 중 하나는 Cloudflare Tunnel 서브도메인을 사용해 C2 인프라의 실제 위치를 숨기는 것입니다. 터널이 차단되더라도, 코드에 포함된 폴백 IP를 통해 통신을 유지하도록 설계되었습니다.
최신 Interlock 랜섬웨어 버전은 이전 Node.js 기반 변형과 달리, 웹 스크립팅에 널리 사용되는 PHP를 이용해 피해 시스템을 침투하고 장기간 접근 권한을 유지합니다. 이 변화는 그룹의 툴이 발전하고 운영 정교도가 높아졌음을 보여주며, 방어자들에게 **신속하고 적응적인 대응**이 요구됩니다. SOC Prime의 최첨단 탐지 엔지니어링, 자동화 기능 및 AI 기반 위협 인텔리전스를 결합한 완전한 제품 스위트에 의존함으로써, 다양한 산업의 조직들이 대규모 및 미래 대응형 방어 역량을 확보할 수 있습니다.
