Trigona 랜섬웨어의 커스텀 데이터 추출 도구 심층 분석

개요

최근 활동이 재개된 Trigona 랜섬웨어 그룹이 데이터 탈취 공격에 사용하는 커스텀 개발 도구가 발견되었다. 2026년 3월 Symantec(이제 Broadcom) 연구원들이 분석한 공격에서 Trigona 제휴 그룹은 기존의 공개 도구(Rclone, MegaSync 등) 대신 자체 개발한 커맨드라인 기반 데이터 추출 도구인 'uploader_client.exe'를 활용했다. 이 도구는 기존 도구와 달리 보안 솔루션의 탐지를 회피하면서도 더 효율적인 데이터 탈취가 가능하도록 설계되었다.

Trigona 랜섬웨어 개요

그룹 소개

Trigona 랜섬웨어는 2022년 6월 처음 발견되었고, 같은 해 10월 공식적으로 활동을 시작한 더블 익스토션(Double Extortion) 랜섬웨어 그룹이다. 데이터 암호화뿐만 아니라 탈취한 데이터를 협박 수단으로 사용하여 피해 기업에게 몬네로(XMR) 암호화폐로 몸값을 요구한다. 2023년 10월 우크라이나 사이버 활동가 그룹(Ukrainian Cyber Alliance)이 Trigona의 서버를 해킹하고 소스 코드와 데이터베이스 기록을 탈취하며 일시적으로 활동을 중단시켰으나, 2026년 초부터 활동을 재개했다.

타겟팅 산업군

Trigona는 산업군을 크게 가리지 않지만, 주로 대기업을 대상으로 한다. 주요 타겟 산업은 다음과 같다:
- 금융 기관
- 교육 기관
- 제조업
- 의료 기관
- 법률 서비스

지역적으로는 미국과 인도에서 가장 많은 공격이 관찰되었으며, 브라질, 이탈리아, 터키, 이스라엘에서도 활동이 확인되었다.

공격 패턴

Trigona의 전형적인 공격 패턴은 다음과 같다:
1. 초기 침투: MS-SQL 서버의 취약한 자격증명을 이용한 무차별 대입 공격 또는 CVE-2021-40539 같은 알려진 취약점 악용
2. 지속성 확보: 레지스트리 Run 키를 통한 자동 실행 설정
3. 권한 상승: 취약한 커널 드라이버를 악용한 보안 제품 비활성화
4. 탐색 및 횡적 이동: 네트워크 스캐너를 통한 추가 대상 탐지
5. 데이터 탈취: 커스텀 도구를 이용한 고가치 데이터 추출
6. 암호화: Delphi로 작성된 랜섬웨어 페이로드 배포
7. 협박: TOR 기반 결제 포털을 통한 몸값 요구

커스텀 데이터 추출 도구 분석

도구 개요

uploader_client.exe는 Trigona 제휴 그룹이 개발한 커맨드라인 기반 데이터 추출 도구로, 공개 도구와 달리 탐지를 회피하고 효율성을 높이는 데 중점을 두었다. Symantec 연구원들은 이 도구가 단순히 공개 도구의 수정 버전이 아니라 처음부터 악의적인 목적으로 개발된 것으로 판단했다.

기존 도구와의 차이점

기술적 특징

1. 병렬 업로드
- 단일 파일당 최대 5개의 동시 연결 지원
- 대용량 파일의 전송 시간을 획기적으로 단축

2. 연결 회전
- 2GB의 트래픽마다 TCP 연결을 교체
- 네트워크 모니터링 도구의 장기 연결 탐지 회피

3. 선택적 파일 필터링
- 대용량 미디어 파일(동영상, 이미지 등)은 자동 제외
- 인보이스, PDF와 같은 고가치 문서 집중 탈취
- 공격자의 대역폭과 시간 효율성 극대화

4. 인증 메커니즘
- 내장된 인증 키로 탈취한 데이터 접근 제한
- 외부 공격자나 경쟁 그룹의 데이터 접근 차단

데이터 탈취 속도 및 효율성

실제 공격 사례에서 이 도구는 네트워크 드라이브의 인보이스와 PDF 문서를 신속하게 탈취하는 데 사용되었다. 병렬 업로드와 선택적 필터링 기능 덕분에 기존 공개 도구 대비:
- 전송 속도: 약 3~5배 향상 (병렬 처리 효과)
- 탐지 회피율: 70% 이상 상승 (시그니처 기반 탐지 회피)
- 데이터 품질: 가치 있는 비즈니스 문서 중심으로 탈취 데이터의 협박 가치 증대

공격 메커니즘 상세 분석

침투 경로

Trigona의 초기 침투 방법은 다양하지만, 가장 일반적인 경로는 다음과 같다:

1. MS-SQL 서버 공격
- 무차별 대입 공격 및 사전 공격을 통한 취약한 자격증명 탈취
- CLR(Common Language Runtime) Shell을 이용한 추가 페이로드 배포
- 데이터베이스 프로세스 컨텍스트 내에서 코드 실행으로 보안 솔루션 회피

2. 취약점 악용
- CVE-2021-40539 (ManageEngine) 등 알려진 취약점 활용
- 패치되지 않은 시스템을 타겟으로 한 익스플로잇

3. 원격 데스크톱(RDP) 공격
- 개방된 RDP 포트 악용
- 다중 인증(MFA)이 없는 시스템의 약한 비밀번호 무차별 대입

권한 상승 방법

Trigona는 권한 상승을 위해 다양한 기법을 사용한다:

1. 취약한 커널 드라이버 악용
- Huorong Network Security Suite의 HRSword를 커널 드라이버 서비스로 설치
- PCHunter, Gmer, YDark, WKTools, DumpGuard, StpProcessMonitorByovd와 같은 보안 제품 비활성화
- 이 도구들은 취약한 커널 드라이버를 사용하여 엔드포인트 보호 프로세스 종료

2. PowerRun 활용
- PowerRun을 이용해 앱, 실행 파일, 스크립트를 상승된 권한으로 실행
- 사용자 모드 보호 우회

3. 자격증명 탈취
- Mimikatz를 이용한 메모리에서 자격증명 추출
- Nirsoft 유틸리티를 이용한 비밀번호 복구

암호화 및 데이터 추출 과정

단계 1: 초기 설정
- 페이로드 배포 후 레지스트리 Run 키에 등록하여 지속성 확보
- HKEY_CURRENT_USER\Software\Trigona에 구성 데이터 저장

단계 2: 보안 비활성화
- 커널 드라이버 기반 보안 제품 종료
- 방화벽 및 백신 비활성화 시도

단계 3: 데이터 탐색
- 네트워크 스캐너를 이용한 내부 네트워크 매핑
- 파일 시스템에서 고가치 데이터 식별

단계 4: 데이터 탈취
- uploader_client.exe 실행
- 선택적 파일 필터링 및 병렬 업로드
- 탈취한 데이터는 공격자 통제 서버로 전송

단계 5: 암호화
- Delphi로 작성된 랜섬웨어 페이로드 실행
- AES-256(대칭 키) + RSA-4112(공개 키) 조합 사용
- OFB(Output Feedback) 모드에서 암호화 수행
- 파일 확장자는 ._locked로 변경
- 기본적으로 파일의 처음 512KB만 암호화하지만, /full 인수를 사용하면 전체 파일 암호화 가능

단계 6: 협박
- how_to_decrypt.hta 형식의 랜섬웨어 노트 작성
- TOR 기반 결제 포털 URL과 인증 키 제공
- 피해자에게 정해진 시간 내 몸값 지불 요구

탐지 및 대응 전략

IoC (Indicators of Compromise)

파일 IoC
- uploader_client.exe (커스텀 데이터 추출 도구)
- .trigona 또는 ._locked 확장자
- how_to_decrypt.hta (랜섬웨어 노트)
- turnoff.bat (보안 서비스 종료 스크립트)

프로세스 IoC
- PowerRun.exe의 의심스러운 실행
- HRSword.exe의 커널 드라이버 설치
- Mimikatz 및 Nirsoft 유틸리티의 비정상적 실행
- bcp.exe, curl.exe, bitsadmin.exe의 악의적 사용

네트워크 IoC
- trigonapay[.]top 도메인과의 통신
- 러시아, 벨라루스 IP 주소와의 연결
- 알려지지 않은 서버로의 대량 데이터 전송
- 2GB마다 연결이 재설정되는 이상한 패턴

레지스트리 IoC
- HKEY_CURRENT_USER\Software\Trigona의 생성
- Run 키에 등록된 의심스러운 항목

탐지 방법

1. 네트워크 모니터링
- 대용량 데이터 아웃바운드 트래픽 모니터링
- 짧은 간격으로 반복되는 연결 패턴 탐지
- 알려지지 않은 외부 서버와의 통신 감지

2. 엔드포인트 탐지
- uploader_client.exe와 같은 알려지지 않은 실행 파일 실행 탐지
- 커널 드라이버의 비정상적 로드 감지
- 보안 제품 비활성화 시도 감지
- Delphi 런타임 라이브러리의 메모리 로드 탐지

3. 행동 기반 탐지
- 짧은 시간 내 대량 파일 접근
- 관리자 권한으로의 비정상적 권한 상승
- 네트워크 공유를 통한 빠른 파일 확산

대응 및 복구 전략

즉시 대응 (24시간 이내)
1. 격리: 감염된 시스템을 네트워크에서 즉시 분리
2. 신고: CISA 및 지역 법집행기관에 사건 보고
3. 삭제: 감염된 머신 초기화 및 재설치
4. 계정 변경: 탈취된 것으로 의심되는 모든 자격증명 변경
5. 근본 원인 분석: 침투 경로 및 범위 확인

단기 대응 (72시간 이내)
1. 복구: 깨끗한 백업에서 데이터 복구
2. 분석: 탈취된 데이터 식별 및 범위 확인
3. 통지: 데이터 유출 법률에 따라 영향 받는 당사자 통지
4. 강화: 취약한 자격증명 강화 및 MFA 강제 적용

장기 대응 (1주 이내)
1. 패치: 모든 시스템에 보안 패치 적용
2. 네트워크 분할: 네트워크 세그멘테이션 구현
3. 모니터링: 지속적인 보안 모니터링 강화
4. 교육: 직원 피싱 인지 교육 실시
5. 백업 검증: 오프라인 백업 정기적 테스트

예방 조치

1. 인증 강화
- 복잡하고 고유한 비밀번호 사용
- 모든 계정에 다중 인증(MFA) 적용
- 계정 잠금 정책 구현

2. 시스템 보안
- 정기적인 보안 패치 및 업데이트 적용
- 불필요한 서비스 및 프로토콜 비활성화
- RDP 포트 노출 최소화 및 MFA 필수 적용

3. 네트워크 보안
- 네트워크 세그멘테이션 구현
- 데이터베이스 서버에 대한 방화벽 규칙 강화
- 신뢰하지 않는 네트워크로부터의 직접 액세스 제한

4. 모니터링
- 관리 도구의 명령줄 사용 및 비정상적 프로세스 호출 모니터링
- 원격 제어 세션(AnyDesk, RDP 등) 감시
- 대규모 데이터 전송 활동 감지

5. 백업 및 복구
- 정기적인 백업 및 재해 복구(BDR) 프로세스 구현
- 오프라인 백업 보관
- 백업 정기적 테스트

결론

Trigona 랜섬웨어 그룹의 커스텀 데이터 추출 도구는 랜섬웨어 공격의 진화를 보여주는 사례다. 기존 공개 도구의 단점을 보완하고 탐지를 회피하는 데 집중한 이 도구는 공격자의 효율성을 크게 높였다. 특히 병렬 업로드, 연결 회전, 선택적 파일 필터링과 같은 기능은 대역폭과 시간을 절약하면서도 가치 있는 데이터를 집중적으로 탈취할 수 있게 한다.

이러한 공격의 진화에 대응하기 위해서는 기존의 시그니처 기반 탐지뿐만 아니라 행동 기반 탐지와 네트워크 트래픽 모니터링이 필수적이다. 또한, 강력한 인증, 정기적인 패치, 네트워크 분할, 오프라인 백업과 같은 기본적인 보안 사항의 철저한 준수만이 이러한 정교한 공격으로부터 조직을 보호할 수 있다.

Trigona가 2023년 10월 활동이 중단된 후 다시 활동을 재개한 점은 랜섬웨어 그룹의 회복력과 적응력을 보여준다. 보안 전문가들은 지속적인 위협 인텔리전스 모니터링과 사전 예방적 접근을 통해 이러한 진화하는 위협에 대비해야 한다.

참고문헌

• BleepingComputer. (2026). Trigona ransomware attacks use custom exfiltration tool to steal data. https://www.bleepingcomputer.com/news/security/trigona-ransomware-attacks-use-custom-exfiltration-tool-to-steal-data/
• Symantec (Broadcom). (2026). Trigona Affiliates Deploy Custom Exfiltration Tool to Streamline Data Theft. https://www.security.com/threat-intelligence/trigona-exfiltration-custom
• SentinelOne. (2024). Trigona Ransomware: In-Depth Analysis, Detection, and Mitigation. https://www.sentinelone.com/anthology/trigona/
• NetmanageIT. (2024). Analysis of Trigona Threat Actor's Latest Attack Cases. https://blog.netmanageit.com/analysis-of-trigona-threat-actors-latest-attack-cases/
• ASEC (AhnLab Security Intelligence Center). (2024). Analysis of Trigona Threat Actor's Latest Attack Cases. https://asec.ahnlab.com/en/90793/
• ThreatFox. (2024). Trigona Malware Family. https://threatfox.abuse.ch/browse/malware/win.trigona/

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.