RansomHub Affiliate Deploys New Custom Backdoor “Betruger” for Persistent Access
- 백도어 개요
- Symantec에 의해 탐지된 맞춤형 백도어 “Betruger”는 RansomHub의 계열 조직에 의해 사용됨
- 전통적인 다중 도구 사용 대신 단일 백도어에 주요 공격 기능을 통합
- 탐지 회피 및 운영 효율성 향상을 위한 전략적 진화로 평가됨
- 통합 기능 구성
- 스크린 캡처 기능을 통한 사용자 모니터링
- 크리덴셜 탈취 기능(Mimikatz 유사 동작 포함)
- 키로깅을 통한 입력 정보 수집
- 네트워크 스캐닝을 통한 내부망 확장
- 권한 상승(PPL 우회 등) 기능 포함
- 탐지 및 보안 권고
- Symantec 시그니처 기반 탐지
- ACM.Ps-RgPst!g1, ACM.Ps-SvcReg!g1, ACM.Untrst-RunSys!g1 등
- 행위 기반 탐지(SONAR.TCP!gen1) 및 머신러닝 기반 탐지(Heur.AdvML 계열)
- 악성코드 분류
- Backdoor.Betruger, Backdoor.Cobalt, Backdoor.SystemBC, Ransom.Ransomhub!g1 등으로 탐지됨
- VMware Carbon Black 제품에서도 사전 차단 가능
- 보안 권고
- 알려진/의심/불필요 프로그램(PUP) 유형 전면 차단
- 클라우드 검사 대기 정책을 통한 실행 지연 적용
- Symantec 시그니처 기반 탐지
- 결론
- Betruger는 RansomHub 계열의 공격 자동화 및 탐지 회피 전략을 반영한 고도화된 공격 도구
- 통합된 백도어 방식은 향후 RaaS(Ransomware-as-a-Service) 생태계 내 기술 고도화의 대표 사례로 분석됨
- 조직 보안팀은 악성코드 탐지 방식의 다양화, 정형-비정형 분석 도구 강화, EDR 정책 재정비 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 대학생 커뮤니티 ‘노크’ 개인정보 유출 사건 분석 (0) | 2025.05.04 |
|---|---|
| MSP를 위한 연속 컴플라이언스 모니터링의 중요성 (0) | 2025.05.04 |
| JPEG 파일에 숨겨진 스테가노그래피 악성코드로 정보탈취 악성코드 유포 (0) | 2025.05.04 |
| Arcane Stealer 악성코드, 게임 치트 유튜브 영상을 통해 유포…VPN 및 브라우저 자격증명 탈취 (1) | 2025.05.04 |
| Babuk2 랜섬웨어 그룹의 허위 갈취 전술 및 대응 방안 (0) | 2025.05.04 |