Threat actor believed to be spreading new MedusaLocker variant since 2022
- 개요
- Cisco Talos는 2022년부터 활동해 온 금전적 동기의 공격자가 최근 MedusaLocker 랜섬웨어의 변종 BabyLockerKZ를 배포하는 것을 관찰함
- 이 공격자는 주로 유럽과 남미 지역의 기업들을 대상으로 공격을 수행하며, 2023년부터 남미 국가에 집중된 공격을 감행함
- BabyLockerKZ는 기존 MedusaLocker와 다른 자동 실행 키 및 공개 및 비공개 키가 레지스트리에 저장되어 있는 등의 차이를 보임
- 공격 도구 및 기법
- 공격 도구
- 공격자는 공개된 공격 도구와 Living-off-the-Land Binaries(LoLBins)를 사용해 피해 조직 내 크리덴셜 탈취 및 수평 이동을 수행함
- HRSword: 안티바이러스 및 EDR 소프트웨어 비활성화 도구
- Advanced Port Scanner: 네트워크 스캔 및 내부 네트워크 맵핑 도구
- Mimikatz: Windows 크리덴셜을 메모리에서 덤프하는 도구
- Checker: 여러 공격 도구를 결합하여 크리덴셜 관리 및 수평 이동을 위한 그래픽 인터페이스 제공
- 특징적인 경로: 공격자는 자주 음악, 사진, 문서 폴더에 공격 도구를 저장하여 탐지를 회피함
- 예시 경로:
c:\users\<user>\music\advanced_port_scanner_2.5.3869.exe
- 예시 경로:
- 공격 도구
- 공격자 활동 및 피해 범위
- 공격 범위
- 2022년부터 2023년까지 공격자는 유럽 국가를 주요 타깃으로 삼았으며, 2023년부터는 남미 국가로 타깃을 변경하여 공격 빈도가 거의 두 배 증가함
- 공격자의 기술과 도구(TTP)
- 공격자는 공개된 도구 외에도 자체 개발한 도구를 사용하여 공격을 효율적으로 수행함
- 특히 Invoke-TheHash와 같은 PowerShell 스크립트를 사용하여 NTLM 해시를 활용한 인증을 시도함
- 공격 범위
- BabyLockerKZ 랜섬웨어
- BabyLockerKZ는 기존 MedusaLocker와 유사하지만 몇 가지 차이점이 있음
- PAIDMEMES 공개 및 비공개 키를 사용
- 레지스트리 키:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BabyLockerKZ
- 암호화 키:
PUTINHUILO1337
- MUTEX:
HOHOL1488
- 레지스트리 키:
- 보안 조치
- Cisco Secure Endpoint와 같은 종단점 보호 솔루션을 활용해 랜섬웨어 실행을 방지
- 네트워크 분석 도구를 사용하여 비정상적인 네트워크 트래픽을 자동으로 감지 및 경고
- MFA(다중 인증)를 통해 네트워크 접근을 보호하고, 크리덴셜 도난을 방지
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
의료정보 보안의 중요성: 개인 보안 의식의 역할과 클라우드 기반 해결책 (4) | 2024.10.10 |
---|---|
Cloudflare, 3.8Tbps 규모의 기록적인 DDoS 공격 완화 (0) | 2024.10.10 |
Akira 랜섬웨어 분석 (9) | 2024.10.09 |
'프로젝트7' 개인정보 요구 논란에 대한 제작진 입장 (7) | 2024.10.09 |
북한 해커 조직 김수키, '블루샤크' 전술로 APT 공격 감행 (1) | 2024.10.09 |