Python-Based Malware Powers RansomHub Ransomware to Exploit Network Flaws
- 공격 개요
- Python 기반 백도어를 사용해 감염된 엔드포인트에 지속적으로 접근
- 백도어를 통해 RansomHub 랜섬웨어를 네트워크 전반에 배포
- 초기 접근 경로: SocGholish(JavaScript 멀웨어), 가짜 브라우저 업데이트를 유도하는 드라이브-바이 다운로드 캠페인
- 공격 메커니즘
- 1단계: 초기 감염
- SocGholish: 악성 웹사이트를 통한 가짜 브라우저 업데이트로 유도
- 주로 검색 엔진 최적화(SEO) 기술을 사용해 피해자를 악성 사이트로 리다이렉션
- 워드프레스 플러그인의 알려진 취약점(예: Yoast, Rank Math PRO)을 악용해 초기에 접근
- 2단계: Python 기반 백도어 배포
- 감염 후 약 20분 이내에 백도어 설치
- RDP 세션을 통해 네트워크 내 다른 기기로 백도어 확산
- SOCKS5 프로토콜 기반의 역방향 프록시로 터널링 설정
- 3단계: RansomHub 랜섬웨어 배포
- 네트워크를 통한 측면 이동(lateral movement) 후 랜섬웨어 설치 및 실행
- 1단계: 초기 감염
- Python 백도어 특징
- 고도로 구조화된 코드로 작성, 인공지능(AI) 도구 활용 가능성
- 오류 처리 및 디버그 메시지 추가로 높은 안정성 유지
- 난독화된 변수와 정교한 클래스 설계를 포함
- 랜섬웨어 전 단계 도구
- EDRSilencer, Backstab: 엔드포인트 탐지 및 응답(EDR) 솔루션 비활성화
- LaZagne: 자격 증명 탈취
- MailBruter: 이메일 계정에 대한 자격 증명 대입 공격
- Sirefef, Mediyes: 추가 페이로드 배포 및 은밀한 접근 유지
- 추가 관찰된 랜섬웨어 활동
- Amazon S3 버킷 대상 공격
- AWS 서버 측 암호화(SSE-C) 기능을 악용해 데이터를 암호화
- 데이터 복구를 방지하며, 7일 내 삭제를 위협해 피해자 압박
- Black Basta 랜섬웨어를 모방한 이메일 폭탄 캠페인
- 대량의 정당한 메시지로 피해자를 혼란시키고 전화 또는 Microsoft Teams를 통해 지원 사칭
- Amazon S3 버킷 대상 공격
- 보안 권고
- 초기 접근 방지
- 검색 엔진 리다이렉션 및 악성 플러그인 악용을 방지하기 위해 워드프레스 플러그인 업데이트
- 네트워크 모니터링 강화
- RDP 세션 및 SOCKS5 터널링과 같은 비정상 트래픽 탐지
- 백도어 방어
- Python 스크립트와 관련된 악성 활동에 대한 탐지 및 차단 규칙 강화
- EDR 솔루션 업데이트
- EDR 및 안티바이러스 솔루션을 최신 상태로 유지
- AWS 보안 관리
- 공개된 AWS 키 사용 여부를 점검하고 권한 최소화
- 초기 접근 방지
- 결론
- Python 백도어와 SocGholish를 결합한 다단계 공격은 고도화된 랜섬웨어 위협의 새로운 형태를 보여줌
- 조직은 초기 접근 방지, 네트워크 모니터링, 정기적인 보안 점검을 통해 랜섬웨어 및 백도어 위협을 최소화해야 함
- AI와 자동화를 결합한 멀웨어는 탐지 회피와 공격 실행 효율성을 높이므로 이에 대한 대응 역량 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 카카오페이 및 애플 개인정보 국외 이전과 안전조치 미비 제재 (0) | 2025.01.31 |
|---|---|
| CISA의 Microsoft Expanded Cloud Logs Implementation Playbook 발표 (0) | 2025.01.26 |
| MikroTik 봇넷: DNS 설정 오류를 통한 악성코드 유포 (1) | 2025.01.26 |
| 이미지에 숨겨진 악성코드: VIP Keylogger 및 0bj3ctivity Stealer 배포 (0) | 2025.01.26 |
| 개인정보위, AI 개발을 위한 원본 데이터 활용 허용 및 규제 완화 추진 (1) | 2025.01.26 |