Kant's IT/Issue on IT&Security

MedusaLocker 변종 'BabyLockerKZ'를 배포하는 새로운 공격자 활동

Kant Jo 2024. 10. 9. 23:17

Threat actor believed to be spreading new MedusaLocker variant since 2022

 

Threat actor believed to be spreading new MedusaLocker variant since 2022

The malware, called "BabyLockerKZ," has primarily affected users in Europe and South America.

blog.talosintelligence.com

 

  • 개요
    • Cisco Talos는 2022년부터 활동해 온 금전적 동기의 공격자가 최근 MedusaLocker 랜섬웨어의 변종 BabyLockerKZ를 배포하는 것을 관찰함
    • 이 공격자는 주로 유럽남미 지역의 기업들을 대상으로 공격을 수행하며, 2023년부터 남미 국가에 집중된 공격을 감행함
    • BabyLockerKZ는 기존 MedusaLocker와 다른 자동 실행 키공개 및 비공개 키레지스트리에 저장되어 있는 등의 차이를 보임
  • 공격 도구 및 기법
    • 공격 도구
      • 공격자는 공개된 공격 도구Living-off-the-Land Binaries(LoLBins)를 사용해 피해 조직 내 크리덴셜 탈취수평 이동을 수행함
      • HRSword: 안티바이러스 및 EDR 소프트웨어 비활성화 도구
      • Advanced Port Scanner: 네트워크 스캔 및 내부 네트워크 맵핑 도구
      • Mimikatz: Windows 크리덴셜을 메모리에서 덤프하는 도구
      • Checker: 여러 공격 도구를 결합하여 크리덴셜 관리수평 이동을 위한 그래픽 인터페이스 제공
    • 특징적인 경로: 공격자는 자주 음악, 사진, 문서 폴더에 공격 도구를 저장하여 탐지를 회피함
      • 예시 경로: c:\users\<user>\music\advanced_port_scanner_2.5.3869.exe
  • 공격자 활동 및 피해 범위
    • 공격 범위
      • 2022년부터 2023년까지 공격자는 유럽 국가를 주요 타깃으로 삼았으며, 2023년부터는 남미 국가로 타깃을 변경하여 공격 빈도가 거의 두 배 증가함
    • 공격자의 기술과 도구(TTP)
      • 공격자는 공개된 도구 외에도 자체 개발한 도구를 사용하여 공격을 효율적으로 수행함
      • 특히 Invoke-TheHash와 같은 PowerShell 스크립트를 사용하여 NTLM 해시를 활용한 인증을 시도함
  • BabyLockerKZ 랜섬웨어
    • BabyLockerKZ는 기존 MedusaLocker와 유사하지만 몇 가지 차이점이 있음
    • PAIDMEMES 공개 및 비공개 키를 사용
      • 레지스트리 키: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BabyLockerKZ
      • 암호화 키: PUTINHUILO1337
      • MUTEX: HOHOL1488
  • 보안 조치
    • Cisco Secure Endpoint와 같은 종단점 보호 솔루션을 활용해 랜섬웨어 실행을 방지
    • 네트워크 분석 도구를 사용하여 비정상적인 네트워크 트래픽을 자동으로 감지 및 경고
    • MFA(다중 인증)를 통해 네트워크 접근을 보호하고, 크리덴셜 도난을 방지