한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지Play 랜섬웨어 공격에 새로운 맞춤 도구 활용
연구원들은 Play 랜섬웨어 공격에 두 가지 새로운 맞춤형 도구가 활용되고 있음을 발견했습니다. 다양한 위협 행위자들이 점점 더 경쟁 우위를 확보하고 피해자의 환경에 맞게 공격을 맞춤화하기 위해 독점 도구를 채택하고 있기 때문입니다.
시만텍의 위협 사냥꾼 팀은 도메인의 모든 컴퓨터와 사용자를 열거하기 위해 맞춤형 네트워킹 검사 도구인 Grixba를 사용하고 공격자가 VSS(볼륨 섀도 복사본 서비스)에서 파일을 복사할 수 있는 .NET 실행 파일을 사용하여 Play 랜섬웨어 배후 그룹을 발견했습니다. 일반적으로 운영 체제에 의해 잠겨 있습니다.
연구원들은 수요일 분석에서 "독점 도구를 사용하면 랜섬웨어 운영자가 자신의 작업을 더 잘 제어할 수 있게 됩니다."라고 밝혔습니다. "도구를 널리 사용할 수 있는 경우 다른 공격자가 리버스 엔지니어링하거나 적용하여 초기 공격의 효과를 약화시킬 수 있습니다. 도구를 독점적이고 독점적으로 유지함으로써 랜섬웨어 갱단은 경쟁 우위를 유지하고 이익을 극대화할 수 있습니다."
2022년 6월에 출시된 Play 랜섬웨어를 개발하는 Balloonfly 그룹은 최근 캘리포니아주 오클랜드 시를 대상으로 한 사이버 공격을 포함해 여러 차례 이중 갈취 공격을 수행했습니다. 이 그룹은 이전에 권한 상승과 같은 Microsoft Exchange 결함을 표적으로 삼았습니다. 버그(CVE-2022-41080) 및 원격 코드 실행 결함(CVE-2022-41082).
이 그룹은 Play를 서비스형 랜섬웨어로 운영하지 않는 것으로 보이며, 이번 주에 발견된 맞춤형 도구는 다른 그룹에 비해 경쟁 우위를 제공할 수 있습니다. Balloonfly는 사용자가 애플리케이션 종속성을 단일 실행 파일에 포함시킬 수 있는 Costura라는 널리 사용되는 .NET 개발 도구를 사용하여 두 도구를 모두 개발했습니다.
"랜섬웨어 갱단은 도구를 독점적이고 독점적으로 유지함으로써 경쟁 우위를 유지하고 수익을 극대화할 수 있습니다."
.NET Grixba infostealer는 소프트웨어, 원격 관리 도구, 여러 보안 프로그램 등을 확인 및 열거하고, 유출을 위해 이 정보를 컴파일합니다. 다른 도구는 암호화 전에 VSS 스냅샷에서 파일을 복사하기 위해 VSS와 상호 작용하기 위한 .NET 프레임워크인 AlphaVSS 라이브러리를 활용합니다.
더 많은 그룹이 공개적으로 사용 가능한 도구나 간단한 스크립트에서 벗어나 완전한 사용자 지정 도구를 사용하고 있습니다. 여기에는 2021년 여러 BlackMatter 랜섬웨어 공격에 사용된 Exmatter 데이터 추출 도구, 작년에 BlackByte가 개발한 사용자 지정 데이터 추출 도구 Exbyte, PowerShell 기반 도구가 포함됩니다. Vice Society에서 사용하는 도구입니다.
시만텍 위협 추적 그룹의 수석 인텔리전스 분석가인 Dick O'Brien은 이와 같은 맞춤형 추출 도구는 공격 속도를 향상시키지만 Play 랜섬웨어 맞춤형 도구에서 볼 수 있듯이 공격의 복잡성과 능력도 증가시킬 수 있다고 말했습니다.
O'Brien은 "공격 수행이 더욱 복잡해지면서 일부 단계의 자동화가 필요할 수도 있습니다"라고 말했습니다. "잠긴 파일을 복사하는 것과 같은 작업은 공격자가 몇 년 전에는 귀찮게 했을지 확실하지 않습니다."
유출 도구 외에도 위협 행위자는 공격 체인을 확장하고 공격에 추가적인 복잡성 계층을 추가하기 위해 다른 유형의 도구 세트를 개발해 왔습니다. 예를 들어, 2022년부터 알려진 이란 공격자 APT35의 하위 그룹은 손상된 환경을 유지하고 탐지를 회피하며 2단계 악성 코드를 배포하기 위해 두 개의 맞춤형 임플란트를 사용해 왔습니다.
O'Brien은 "어떤 면에서는 이는 공격자가 열기를 느끼고 있고 너무 많은 공격이 완료되기 전에 발견되고 있다는 점을 의미하므로 긍정적인 신호일 수 있습니다."라고 말했습니다. "또한 공격자들이 보안 소프트웨어를 비활성화하려고 시도하는 데 더 많은 노력을 기울이고 있으며 이는 공격자들이 더 자주 방해를 받고 있음을 의미합니다."
Qakbot 악성 코드 운영자는 방어의 변화에 적응하기 위해 전술을 다시 전환했습니다.
SeroXen으로 알려진 새로운 RAT는 포럼 및 소셜 미디어 플랫폼에서 판매되고 있으며 EDR을 회피하고 다음과 같은 기능을 제공할 수 있습니다.