Experts Find Shared Codebase Linking Morpheus and HellCat Ransomware Payloads
- 개요
- Morpheus와 HellCat 랜섬웨어가 동일한 코드베이스를 공유하고 있음이 보안 연구를 통해 확인됨
- SentinelOne 연구진이 VirusTotal에 업로드된 샘플을 분석하여 공격자 세부 정보와 피해자 특정 데이터만 다를 뿐 동일한 페이로드 사용 확인
- Morpheus(2024년 12월 등장)와 HellCat(2024년 10월 등장) 모두 신생 랜섬웨어 그룹에 해당
- 기술적 분석
- 64비트 실행 파일(Portable Executable, PE)로 구성
- 암호화 제외 대상
\Windows\System32폴더.dll,.sys,.exe,.drv,.com,.cat확장자를 가진 파일
- 파일 확장자 변경 없음
- 파일 내용은 암호화되지만 확장자 및 메타데이터는 유지
- 암호화 방식
- Windows 암호화 API(Windows Cryptographic API) 활용
- BCrypt 알고리즘으로 암호화 키 생성
- 감염 후 추가적인 시스템 변경 없음
- 배경화면 변경, 지속성 유지(persistence) 설정 등의 기능이 없음
- 랜섬노트
- Morpheus 및 HellCat의 랜섬노트가 2023년 활동했던 Underground Team 랜섬웨어 그룹과 동일한 형태
- 연결된 공격자 그룹
- 두 랜섬웨어 운영 조직이 공통된 협력 네트워크(RaaS, Ransomware-as-a-Service)로 운영되고 있을 가능성 제기
- 코드베이스 공유 또는 동일한 빌더 애플리케이션 사용 가능성이 높음
- 랜섬웨어 동향
- 랜섬웨어 공격이 점점 분산화되는 경향
- 대규모 그룹이 사법 당국의 집중 단속을 받으며 소규모 그룹이 증가하는 현상
- Trustwave: "탈중앙화된 랜섬웨어 운영이 증가하면서 공격자들이 더욱 기민하게 움직이고 있음"
- 2024년 12월 한 달간 574건의 랜섬웨어 공격 발생
- 주요 그룹
- FunkSec(103건)
- Cl0p(68건)
- Akira(43건)
- RansomHub(41건)
- NCC Group: "12월은 일반적으로 랜섬웨어 활동이 감소하는 시기지만, 2024년 12월은 역대 최다 공격 기록"
- 주요 그룹
- 랜섬웨어 공격이 점점 분산화되는 경향
- 보안 권고
- 랜섬웨어 탐지 및 대응 전략 강화
- 백업 체계 강화(3-2-1 백업 원칙 적용)
- 랜섬웨어 대응을 위한 네트워크 분리 및 보안 패치 적용
- Windows Cryptographic API 사용 여부 및 실행 파일 무결성 검증 강화
- Morpheus 및 HellCat 감염 차단을 위한 주요 조치
- 이메일 첨부파일 및 악성 URL 탐지 강화
- 랜섬웨어 IOCs(Indicators of Compromise) 모니터링 및 차단
- Endpoint Detection and Response(EDR) 솔루션 도입
- 랜섬웨어 탐지 및 대응 전략 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| macOS 사용자 대상 Homebrew 위장 악성코드 유포 캠페인 발견 (0) | 2025.01.31 |
|---|---|
| Nnice 랜섬웨어: 고급 암호화 기법을 이용한 Windows 시스템 공격 (0) | 2025.01.31 |
| 가짜 CAPTCHA 캠페인, Lumma Stealer 유포 주의보 (0) | 2025.01.31 |
| 안드로이드, 'Identity Check' 및 도난 방지 기능 강화 (1) | 2025.01.31 |
| 인공지능(AI)과 프라이버시 리스크 관리 방안 (1) | 2025.01.31 |