Storm-2603: Velociraptor 악용·다중 랜섬웨어 유포 사건 정리 (2025-10)

Storm-2603의 Velociraptor 악용 및 다중 랜섬웨어 유포 사건 정리 (2025-10)

핵심 요약: 2025년 10월 보안 리서치에 따르면 중국계로 추정되는 위협 그룹 Storm-2603이 오픈소스 DFIR(디지털 포렌식/사고대응) 도구인 Velociraptor를 악용해 내부 지속성·원격 명령 제어를 확보하고, 이후 Warlock, LockBit, Babuk 등 여러 랜섬웨어 계열을 배포한 정황이 보고되었습니다. 이 사례는 ‘합법 도구의 역이용(BYOT: Bring-Your-Own-Tool/Tool Abuse)’이 고도화하고 있음을 보여줍니다.

무슨 일이 보고되었나 (정리)

• 보안업체와 연구소들이 Velociraptor(오픈소스 DFIR 도구)를 공격자가 설치·악용해 내부 관찰·명령 전달 경로로 사용한 사례를 확인했습니다. 이 활동은 Storm-2603에 귀속될 가능성이 높다고 평가됩니다.
• 공격자는 Velociraptor를 통해 엔드포인트를 제어·탐지 회피하고, 그 위에서 Warlock·LockBit·Babuk 등 다양한 랜섬웨어를 전개했습니다(Windows 서버와 VMware ESXi 환경 모두 표적).
• Storm-2603는 이전에 SharePoint 원격 코드 실행(‘ToolShell’ 체인) 등 서버 취약점을 활용해 초기 접근을 확보한 사례가 보고된 바 있어, 이번 캠페인도 여러 초기 접근 벡터와 합쳐진 것으로 보입니다.

기술적 분석 — 공격자가 Velociraptor를 왜·어떻게 악용했나?

Velociraptor: 합법적인 DFIR 도구의 특징

Velociraptor는 엔드포인트에서 포렌식 수집·질의·원격 스크립트 실행을 지원하는 오픈소스 프로젝트입니다. 원래는 사고대응팀이 실시간으로 조사·격리·증거수집을 하기 위해 사용하던 합법 툴입니다. 공격자는 이 합법성을 악용(whitelisting·설치 허가 우회)해 탐지를 어렵게 합니다.

전형적 악용 패턴 (관찰된 TTPs)

1. 초기 접근 확보 — 인터넷 노출 취약 서버(예: SharePoint ToolShell CVE 체인) 또는 훔친 자격증명을 통해 내부 네트워크로 들어갑니다.
2. 페이로드 배치 — 공격자는 정상 DFIR 툴(예: Velociraptor) 서버/클라이언트 구성 파일을 설치하여 원격 명령·파일 전송 루트로 사용합니다.
3. 영구성·탐지 회피 — Velociraptor의 정상 기능(원격 실행, 쿼리, 로그 수집)을 악용해 탐지 로그를 수집·변조하거나, 관리자 도구로 위장해 보안 제품에 의해 차단되지 않도록 처치합니다.
4. 랜섬웨어 배포·확산 — 확보한 제어권을 이용해 PsExec/WinRM/SSH 또는 VMware ESXi 취약점/스크립트를 통해 랜섬웨어를 전개하고, 백업·스냅샷을 암호화·파괴합니다. 다중 랜섬웨어(전술적으로 Warlock/LockBit/Babuk 등)를 사용해 피해 복구 난이도를 높입니다.
5. 데이터 유출·이중 협박 — 랜섬 요구와 함께 데이터 유출(정보 노출)로 추가 압박을 가하는 ‘더블 익스토션(double extortion)’ 전술을 사용합니다.

왜 이 사례가 주목받나 — 공격자가 얻는 이득과 방어의 어려움

• 정상 도구의 역이용 — Velociraptor 같은 합법 툴은 EDR·AV의 예외(whitelist)에 등록되는 경우가 있어 탐지·차단이 곤란합니다.
• 다중 랜섬웨어 전략 — 여러 랜섬웨어를 상황에 따라 사용하면, 추적·차단·복구가 복잡해지고 수익성도 높아집니다.
• 툴셸, SharePoint 등 표적화 — 이미 공개된 취약점을 통해 초기 접근을 얻는 패턴은 패치 지연 조직에 치명적입니다.

탐지 지표(IOC) 및 실무에서 확인할 항목

아래는 공개 리포트에서 제시된 일반적 지표(예시)입니다. 조직 환경에 맞춰 SIEM/EDR 규칙으로 전개하세요.

• Velociraptor 프로세스/서비스 예기치 않은 설치 또는 원격 Velociraptor 서버(또는 클라이언트)로의 비정상적인 연결.
• 이상한 계정의 관리자 권한 부여/사용, 권한 상승 이벤트
• PsExec·SharpHostInfo·masscan 등 네트워크 스캐닝·원격 실행 도구의 사용 흔적.
• 비정상적인 파일 암호화 활동(ESXi 스냅샷 수정을 시도하거나, 대량 파일 IO 증가) 및 7z/DLL hijack 흔적.
• 의심스러운 DNS 트래픽(예: DNS 기반 C2), 비정상적 도메인 쿼리 패턴.

대응 및 완화 권고 (실무 체크리스트)

1. 긴급 패치 & 취약점 차단 — Microsoft/공급업체의 관련 취약점(SharePoint ToolShell 등) 패치를 즉시 적용하세요.
2. Velociraptor 등 DFIR 도구의 설치 검증 — 조직에서 설치·운영하지 않는 Velociraptor 서비스/구성요소는 차단·격리하고, 설치된 경우 구성·접근 로그를 점검하세요.
3. 행동 기반 탐지 강화 — EDR·SIEM에서 비정상적 원격 실행·스캐닝·대량 파일 변경을 탐지하도록 룰을 구성하세요. (PsExec 사용, masscan 배치 등)
4. 네트워크 분단(세분화) 및 최소 권한 — 관리 네트워크, 백업 인프라, 가상화 관리 포트 등은 별도 존·제어로 분리하고, 관리 계정에는 MFA 적용하세요.
5. 백업 복구 전략 검토 — 오프라인/불변(immutable) 백업을 보유하고 복구 절차를 정기적으로 검증하세요.
6. 위협 인텔 피드 및 협업 — Talos/Cisco, Check Point, Palo Alto Unit 42 등에서 공개하는 IOC/룰을 SIEM·EDR에 적용하세요.
7. 포렌식 보존·법집행 협조 — 증거 보존(이미지·로그) 및 수사기관과의 협업 채널을 확보하세요.

결론 — 무엇을 기억해야 할까?

이번 사례는 공격자가 '합법 도구'를 역이용하여 탐지·차단을 회피하고 다중 랜섬웨어를 전개할 수 있음을 분명히 합니다. 조직은 단순한 시그니처 차단에만 의존하지 말고, 툴·프로세스의 정상 여부를 증명하는 화이트리스트, 행동 기반 탐지, 제로 트러스트 접근 통제, 그리고 최신 패치 적용을 병행해야 합니다.

---

주요 출처 (읽어볼 리포트)

• Cisco Talos — Velociraptor leveraged in ransomware attacks.
• BleepingComputer — Hackers now use Velociraptor DFIR tool in ransomware attacks.
• The Hacker News — Hackers Turn Velociraptor DFIR Tool Into Weapon.
• Palo Alto Unit 42 — Project AK47 / ToolShell analysis.
• Check Point Research — Storm-2603 analysis (ToolShell/AK47 links).

태그:

#Storm2603 #Velociraptor #Ransomware #DFIRToolAbuse #ThreatIntel