헬다운(Helldown) 랜섬웨어 그룹이 자이젤(Zyxel) 방화벽의 취약점을 악용해 기업 네트워크에 침투하고 데이터를 탈취하거나 파일을 암호화하고 있는 것으로 나타났다. 최근 프랑스 사이버 보안 기업 세코이아(Sekoia)는 헬다운의 공격 기법과 특징을 분석해 이러한 사실을 밝혔다.
헬다운은 지난 2024년 8월 9일, 사이퍼마(Cyfirma)가 처음 보고했으며, 10월 13일에는 사이버인트(Cyberint)에서도 관련 내용을 언급했다. 이후 헬다운은 주로 윈도우와 리눅스 플랫폼을 겨냥해 공격을 수행하고 있다. 특히 10월 31일에는 360넷랩(360NetLab)의 보안 연구원 알렉스 튜링(Alex Turing)이 리눅스 변종 헬다운 랜섬웨어가 VMware 환경을 대상으로 한 사례를 확인하며 해당 악성코드가 아직 개발 중일 가능성을 제기했다.
윈도우용 헬다운은 유출된 락빗 3(LockBit 3) 빌더를 기반으로 만들어졌으며, 다크레이스(Darkrace)와 도넥스(Donex)와 유사한 동작 방식을 보인다. 그러나 현재까지 명확한 연관성은 발견되지 않았다.
헬다운은 피해 기업 정보를 게시하는 데이터 갈취 포털을 운영하며, 2024년 11월 7일 기준 31개의 피해 기업을 등록했다. 이들 중 대다수는 미국과 유럽에 위치한 중소기업으로, 최대 400GB 이상의 대용량 데이터를 유출한 사례도 있었다. 피해 기업 중에는 네트워크 및 보안 솔루션 기업인 자이젤 유럽(Zyxel Europe)도 포함됐다.
헬다운은 다른 랜섬웨어 그룹에 비해 기술적 정교함이 떨어지는 것으로 평가된다. 예를 들어, 작업을 종료하는 기능을 악성코드에 통합하지 않고 배치 파일(batch file)을 사용한다. 파일 암호화 시에는 무작위 문자열로 구성된 확장자를 생성하며, 랜섬 노트에도 해당 문자열이 포함된다.
■자이젤 방화벽 취약점 악용
세코이아는 헬다운이 자이젤 방화벽의 치명적인 취약점을 주요 공격 경로로 활용했다고 분석했다. 특히 IPSec VPN의 사용자 기반 PSK 모드에서 발생하는 명령 주입 취약점(CVE-2024-42057)을 악용한 것으로 보인다. 이 취약점은 2024년 9월 3일, 자이젤이 펌웨어 5.39 버전을 통해 수정했다.
자이젤 방화벽 사용자들 사이에서 의심스러운 계정(예: OKSDW82A) 생성과 비정상적인 설정 파일(zzz1.conf) 사용에 대한 보고가 이어지면서, 헬다운과의 연관성이 제기됐다. 세코이아는 이와 함께 자이젤 기기에서 발견된 추가 취약점의 가능성도 조사 중이라고 밝혔다.
지난 10월 17일부터 22일 사이에 러시아에서 바이러스토탈(VirusTotal)에 업로드된 MIPS 아키텍처 기반 페이로드도 헬다운의 활동과 연결된 것으로 보인다. 세코이아의 연구원 제레미 시온(Jeremy Scion)은 "이 페이로드는 아직 불완전한 상태이지만 자이젤 기기 공격과 연관됐을 가능성이 있다"고 설명했다.
헬다운 같은 위협에 대응하기 위해 전문가들은 다음과 같은 조치를 권고했다:
-펌웨어 업데이트: 자이젤 방화벽 사용자는 즉시 펌웨어를 5.39 버전 이상으로 업데이트해야 한다.
-이상 징후 모니터링: OKSDW82A 계정 생성이나 zzz1.conf 파일 생성 여부를 점검해야 한다.
-네트워크 세분화: 네트워크 내 lateral movement(횡적 이동)를 제한해 피해를 최소화한다.
세코이아의 제레미 시온 연구원은 “헬다운은 n-day 취약점과 제로데이 취약점을 악용하는 능력을 갖췄다”며 “기업들은 취약점 관리와 보안 패치 적용에 더 적극적으로 나서야 한다”고 강조했다. 360넷랩의 알렉스 튜링은 “초기 대응 능력이 중요하다”며 “공격 조기 감지와 신속한 대응이 피해를 줄이는 핵심”이라고 말했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★