우크라이나 침해대응센터(CERT-UA)가 국가의 중요 인프라를 위협하는 쿠바 랜섬웨어에 대해 경고했다.
2022년 10월 21일, CERT-UA는 우크라이나 국군 참모의 언론 계정을 사칭한 피싱 공격을 적발했다고 밝혔다.
피싱 메시지에는 'Наказ_309.pdf'라는 제목의 문서를 다운로드할 수 있는 타사 웹사이트 링크가 포함돼 있다.
링크를 타고 들어가면 읽을 때 문서를 열기 위해 필요한 소프트웨어인 PDF Reader 업데이트를 유도한다. 다운로드 버튼을 클릭하면 ‘AcroRdrDCx642200120169_uk_UA.exe’라는 실행 파일이 다운로드 된다.
CERT-UA는 "이번 RomCom 백도어의 유포를 그동안 쿠바 랜섬웨어를 배포해 온 해커 집단 UAC-0132의 소행으로 보고 있다"라고 설명했다.
이어 "RomCom 백도어의 사용과 관련 파일의 다른 기능을 고려해볼 때, 이번 활동을 UNC2596(Mandiant)와도 연관 지을 수 있다”라고 덧붙였다.
한편, 쿠바 랜섬웨어는 2022년 5월 팔로알토 네트웍스에 의해 관찰됐다. 랜섬웨어는 백도어 RomCom와 함께 새로운 도구와 기술을 사용하는 Tropical Scorpius라는 해커에 의해 배포되고 있는 것으로 알려졌다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.