파일 없는 형태의 랜섬웨어 악성코드 ‘소어브렉트(SOREBRECT)’가 유포되고 있어 주의가 요구된다. 트렌드마이크로가 자사 보안 블로그를 통해 공개한 소어브렉트는 파일없는 방식으로 악성코드를 주입하는 랜섬웨어로, 감염된 시스템 뿐 아니라 네트워크에 연결된 다른 단말가지 피해를 입힌다.

트렌드마이크로는 소어브렉트가 중동 조직들의 시스템과 네트워크를 감염시킨 사실을 발견했으며, 5월 초 캐나다, 중국, 크로아티아, 이탈리아, 일본, 멕시코, 러시아, 대만, 미국 등에서도 발견됐다. 제조업, 기술, 이동통신사 등이 공격을 당했다. 트렌드마이크로는 이 랜섬웨어가 서비스 방식으로 진화할 가능성이 있다고 내다봤다.

소어브렉트는 시스템 관리자 계정을 해킹하거나 원격 기기를 탈취해 공격하며, 윈도우의 svchost.exe 프로세스에 악성코드를 주입하고 메인 바이너리는 자폭시킨다. 그래서 엔드포인트에서 공격 샘플을 찾아내기 어려워진다.

SOREBRECT는 추적을 피하기 위해 시스템의 이벤트 로그와 쉐도우 복사본을 삭제한다. 악성 코드가 주입된 svchost.exe 프로세스는 로컬 기기와 네트워크 공유의 파일들을 암호화하는 페이로드를 실행하며, 토르 네트워크 프로토콜을 이용해 C&C 서버로의 연결을 익명화한다. 

김선애 기자 다른기사 보기