최근 포티가드랩 사이버 보안 연구원들은 악명 높은 포보스(Phobos) 랜섬웨어의 새롭고 정교한 변종 ‘FAUST’를 발견했다. 이 변종은 네트워크 환경 내에서 지속성을 유지하고 효율성을 높이기 위해 여러 스레드를 사용해 파일리스 공격을 실행할 수 있는 기능이 있다.

연구원들은 FAUST 랜섬웨어를 전파하기 위해 설계된 비주얼 베이직(VBA) 스크립트가 포함된 오피스 문서를 우연히 발견했다. 이 위협의 복잡성을 밝혀낸 결과, 공격자들은 Gitea 서비스를 활용해 각각 악성 바이너리가 포함된 Base64로 인코딩된 여러 파일을 저장한 것으로 밝혀졌다. 시스템의 메모리에 주입되면 이러한 파일은 파일 암호화 공격을 촉발해 고유한 확장자를 가진 파일을 암호화하는데, 이는 포보스 랜섬웨어 계열의 특징이다.

2019년에 처음 발견된 포보스 랜섬웨어는 암호 해독 키의 대가로 암호화폐 몸값을 요구하는 사이버 공격에 반복적으로 등장해 왔다. 보안 전문가들에 의해 문서화되고 분석된 포보스 랜섬웨어의 이전 변종으로는 EKING과 8Base가 있다.

시스템의 하드 드라이브에 기존의 흔적을 남기지 않고 작동하는 파일리스 공격은 사이버 보안 전문가들에게 독특한 도전 과제를 제시한다. 이러한 적응성과 실행을 위해 여러 개의 스레드를 생성할 수 있는 능력으로 인해 FAUST는 강력한 위협이 되고 있다.

보안전문가들은, 의심스러운 링크를 클릭하지 않도록 사용자에게 주의를 주는 것도 중요하지만, 정기적인 소프트웨어 업데이트, 직원 사이버 보안 교육, 포괄적인 보안 시스템 배포를 통해 FAUST와 같이 진화하는 위협을 탐지하고 완화하는 것이 중요하다고 강조하고 있다. 또 안전 조치로 오피스에서 VBA를 완전히 비활성화할 것을 권장한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★