랜섬웨어 DeadLock의 경고
사이버 보안 회사 Group-IB는 새로운 형태의 랜섬웨어가 프록시 서버 주소 회전 및 배포를 위해 Polygon 스마트 계약을 사용하여 장치에 침투하고 있다고 목요일 경고했습니다. 이 악성코드는 DeadLock이라는 이름으로 2025년 7월에 처음 발견되었으며, 공개 제휴 프로그램이나 데이터 유출 사이트가 없고 감염된 피해자 수가 제한적이기 때문에 지금까지 큰 주목을 받지 못했습니다.
Group-IB는 블로그에서 “비록 저조한 프로필과 낮은 영향력을 가지고 있지만, 이는 진화하는 기술 세트를 보여주는 혁신적인 방법을 적용하고 있으며, 조직들이 이 새로운 위협을 심각하게 받아들이지 않는다면 위험해질 수 있다”고 밝혔습니다.
DeadLock의 기술적 특징
DeadLock의 스마트 계약을 사용하여 프록시 주소를 전달하는 것은 “공격자가 이 기술의 무한한 변형을 실제로 적용할 수 있는 흥미로운 방법이며, 상상력이 한계”라고 회사는 언급했습니다. Group-IB는 최근 Google 위협 정보 그룹이 북한 해커들이 사용하는 유사한 기술인 “EtherHiding”을 강조한 보고서를 지적했습니다.
EtherHiding은 지난해 공개된 캠페인으로, 북한 해커들이 이더리움 블록체인을 사용하여 악성 소프트웨어를 숨기고 전달했습니다. 피해자들은 일반적으로 손상된 웹사이트—종종 워드프레스 페이지—를 통해 유인되며, 이 페이지는 작은 자바스크립트 코드 조각을 로드합니다. 그 코드는 블록체인에서 숨겨진 페이로드를 가져와 공격자들이 차단에 매우 강한 방식으로 악성 소프트웨어를 배포할 수 있도록 합니다.
DeadLock의 감염 및 변종
EtherHiding과 DeadLock 모두 공공의 분산 원장을 방해하기 어렵고 차단하기 힘든 비밀 채널로 재사용합니다. DeadLock은 사용자의 IP를 정기적으로 변경하는 프록시를 이용하여 추적하거나 차단하기 어렵게 만듭니다. Group-IB는 “초기 접근 벡터와 공격의 다른 중요한 단계는 현재로서는 알려져 있지 않다”고 인정했지만, DeadLock 감염은 암호화된 파일의 이름을 .dlock 확장자로 변경하고 바탕 화면 배경을 랜섬 노트로 교체한다고 밝혔습니다.
최신 버전은 또한 피해자에게 민감한 데이터가 도난당했으며, 랜섬이 지불되지 않으면 판매되거나 유출될 수 있다고 경고합니다. 지금까지 최소 세 가지 변종의 악성코드가 확인되었습니다. 이전 버전은 손상된 서버에 의존했지만, 연구자들은 이제 이 그룹이 자체 인프라를 운영하고 있다고 믿고 있습니다.
DeadLock의 혁신적인 접근
그러나 주요 혁신은 DeadLock이 서버 주소를 검색하고 관리하는 방식에 있습니다.
“Group-IB 연구원들은 Polygon 네트워크와 상호작용하는 스마트 계약과 상호작용하는 HTML 파일 내에서 JS 코드를 발견했다”고 설명했습니다.
이 RPC 목록은 Polygon 네트워크 또는 블록체인과 상호작용하기 위한 사용 가능한 엔드포인트를 포함하고 있으며, 애플리케이션을 블록체인의 기존 노드에 연결하는 게이트웨이 역할을 한다. 최근 관찰된 버전은 피해자와 공격자 간의 통신 채널도 포함하고 있습니다. DeadLock은 암호화된 메시징 앱 Session을 감싸는 HTML 파일을 드롭합니다.
“HTML 파일의 주요 목적은 DeadLock 운영자와 피해자 간의 직접적인 통신을 촉진하는 것이다”라고 Group-IB는 말했습니다.
