Albabat 랜섬웨어 그룹의 위협 인텔리전스 및 IOC/탐지 시그니처 정리

Blasting Past Webp

Blasting Past Webp

 

1. 개요

• 위협 행위자: Albabat 랜섬웨어 그룹
• 특징: 다중 운영체제 대상 공격, GitHub 기반 공격 자동화, 정보수집 기능 강화, 탐지 우회 기법 활용
• 목표 대상: Windows, Linux 서버, 가상화 환경, 기업 내부망 전반

2. 주요 전술 및 기술 (MITRE ATT&CK 기준)

• 초기 접근 (Initial Access)
  • T1190: 공개 시스템 취약점 악용 (예: WebLogic, Fortinet CVE)
  • T1078: 유출된 자격 증명(Credential Stuffing)
  • T1566.001: 이메일 첨부형 피싱
• 실행 (Execution)
  • T1059: PowerShell, bash를 통한 명령 실행
  • T1203: 애플리케이션 취약점 악용 (Python 모듈 자동 실행)
• 지속성 (Persistence)
  • T1547.001: Windows 시작 프로그램 등록
  • T1543.003: systemd 서비스 등록 (Linux)
• 권한 상승 (Privilege Escalation)
  • T1068: 권한 상승 취약점 악용 (Windows CVE-2021-1732 등)
  • T1548.001: Sudo misconfiguration
• 방어 회피 (Defense Evasion)
  • T1027: 스크립트 난독화
  • T1112: 로깅 비활성화 (Windows Event Logging)
  • T1222: 권한 조정 (파일/디렉터리 ACL 변경)
• 자격 증명 접근 (Credential Access)
  • T1003.001: LSASS 메모리 덤프를 통한 자격 증명 탈취
  • T1555.003: 브라우저 저장 자격 정보 수집
• 내부 이동 (Lateral Movement)
  • T1021.002: SMB, WMI를 통한 lateral movement
  • T1021.001: SSH 자동화 스크립트 활용
• 정보 수집 (Collection)
  • T1005: 로컬 파일 수집
  • T1113: 스크린 캡처
• 명령 및 제어 (C2)
  • T1105: GitHub를 통한 페이로드 업데이트 및 C2 통신
  • T1071.001: HTTP 기반 C2 통신
• 영향 (Impact)
  • T1486: 파일 암호화
  • T1490: 시스템 복구 기능 삭제 (shadow copy 삭제)

3. 사용 도구 및 페이로드

• 암호화 도구: 자체 제작된 RSA/AES 기반 암호화기 (확장자: *.albabat, *.alba)
• 정보 탈취 도구
  • CredsDump.py (LSASS, SAM, SYSTEM 접근)
  • BrowserCredExtractor.exe (Chrome/Edge 기반 정보 수집)
• 백도어: PowerShell 원격 접속 스크립트 및 remote-access.py
• 페이로드 저장 위치: GitHub 저장소 및 외부 Pastebin/AnonFiles 링크 사용

4. IOC (Indicators of Compromise)

4.1 파일 해시 (SHA-256)

• b7f310b643fbfbd4c087c5a6b21f79d3d4a9f13a9e2dd99fc2f91bba8e40c387 – 암호화 실행 파일
• 58dbb2986f54828d4f8e8d1b43f13e3f3cd5486e3a4fda63e8c6c2306cb813ac – PowerShell 백도어
• 71ff98f6d14441dfd47371f84f38b8cf07e29cdaee99e73a7288c81a06c72c20 – Chrome 자격 정보 수집기4.2 악성 도메인 / C2
• github[.]com/albabat-tools/payloads
• albapaste[.]xyz
• anonfiles[.]com/A3Dd2/alba_keys
• cmd-alba[.]org4.3 관련 IP
• 45.142.213.57 – GitHub에 연결되는 중간 프록시 IP
• 185.234.219.101 – C2 연결 서버4.4 등록된 서비스 및 파일 경로
• C:\ProgramData\alba_agent\agent.exe
• /etc/systemd/system/albabd.service
• /tmp/alba_exec.sh4.5 확장자 및 랜섬노트
• 암호화 확장자: .albabat, .alba
• 랜섬노트: README_ALBABAT.txt
• 랜섬노트 특징
  • BTC 또는 XMR 지불 요구
  • 언어 자동 감지 후 영어/한국어/중국어로 출력

5. 탐지 시그니처 예시

5.1 YARA Rule (암호화 페이로드 탐지)

rule Albabat_Ransomware_Executable
{
  meta:
    description = "Detect Albabat ransomware PE file"
    author = "infosec_team"
    date = "2025-04-30"
  strings:
    $a = "Your files have been encrypted by Albabat"
    $b = "RSA PUBLIC KEY"
    $c = ".albabat"
  condition:
    uint16(0) == 0x5A4D and 3 of ($a, $b, $c)
}

5.2 Sigma Rule (Windows 이벤트 기반 탐지)

title: Albabat Ransomware Shadow Copy Deletion
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    Image|endswith: '\vssadmin.exe'
    CommandLine|contains: 'delete shadows'
  condition: selection
level: high
tags:
  - attack.impact
  - attack.t1490

5.3 Suricata IDS Rule (C2 도메인 접속 탐지)

alert http any any -> any any (
  msg:"Albabat Ransomware GitHub C2 Detected";
  content:"Host|3A| github.com"; http_header;
  content:"/albabat-tools/payloads"; http_uri;
  classtype:trojan-activity;
  sid:2025043001;
  rev:1;
)

6. 결론

• Albabat 그룹은 GitHub 및 자동화된 페이로드 배포, 다중 운영체제 암호화 공격, 정보탈취 기능 결합 등으로 기존 RaaS 그룹과 차별화된 고도화 경향을 보임
• 조직은 GitHub 기반 탐지 우회 기법에 대한 모니터링 강화와, 자격 증명 보안, 다중 로그 연계 탐지를 통한 이상징후 대응이 필요