블랙바이트 2.0 랜섬웨어 공격 증가 추세
Microsoft 인시던트 대응 팀의 새로운 보고서에 따르면 BlackByte 2.0 랜섬웨어 공격이 급증하고 있는 것으로 나타났습니다. 이러한 공격은 위협 행위자가 단 5일 만에 전체 공격 프로세스를 완료할 수 있을 정도로 빠르고 파괴적인 것이 특징입니다.
이 보고서에 따르면 블랙바이트 공격자들은 패치되지 않은 마이크로소프트 익스체인지 서버 익스플로잇, 원격 액세스를 위한 웹 셸 배포, 지속성 및 정찰을 위한 도구 사용, 명령 및 제어를 위한 코발트 스트라이크 비콘 배포 등 다양한 방법을 사용하여 목표를 달성하는 것으로 나타났습니다.
블랙바이트 공격자는 데이터를 암호화하는 것 외에도 손상된 시스템에 지속적으로 액세스할 수 있는 백도어를 배포합니다. 이를 통해 민감한 데이터를 훔치거나, 추가 멀웨어를 설치하거나, BlackByte2.0 랜섬웨어를 사용하여 다른 공격을 실행할 수도 있습니다.
위협 행위자는 패치되지 않은 Microsoft Exchange 서버의 취약점, 특히 CVE-2021-34473, CVE-2021-34523 및 CVE-2021-31207을 악용하여 액세스 권한을 얻었습니다. IP 주소 185.225.73.244에서 실행되기 시작했으며, 시스템 수준 액세스 권한을 획득한 후 사용자 로그인 시 페이로드를 실행하는 레지스트리 실행 키를 생성하고, 사용자 정보를 열거하고, 웹 셸을 구축하고, 표적 시스템에 대한 원격 제어를 설정하여 지속성을 개발했습니다.
그런 다음 위협 행위자는 api-msvc.dll이라는 백도어 파일을 사용하여 시스템 데이터를 수집하고 이를 hxxps://myvisit.alteksecurity.org/t에 위치한 명령 및 제어(C2) 서버로 보냈습니다. 또 다른 파일인 api-system.png도 비슷한 동작을 하며 지속성을 위해 실행 키를 사용했습니다. 지속성은 temp[.]sh에서 다운로드되어 109.206.243.59:443에서 C2 채널과 상호 작용하는 Cobalt Strike Beacon(sys.exe)을 사용하여 달성되었습니다.
또한, 위협 행위자는 지속성을 유지하고 네트워크 마이그레이션을 지원하기 위해 서비스로 설치된 원격 액세스 프로그램인 AnyDesk를 사용했습니다. AnyDesk 로그에서 TOR 및 MULLVAD VPN 연결을 확인할 수 있습니다.
위협 행위자는 네트워크 검색 도구인 NetScan(netscan.exe 및 netapp.exe)과 Active Directory 정찰 도구인 AdFind(f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e)를 사용하여 네트워크를 열거하는 데 사용했습니다. 데이터 스테이징 및 유출은 Microsoft Defender 안티바이러스를 비활성화하는 파일인 explorer.exe(Trojan:Win64/WinGoObfusc.LK!MT)를 사용하여 수행되었습니다.
이 ExByte 파일은 블랙바이트 랜섬웨어 공격에서 파일을 수집하고 유출하는 데 자주 사용되는 도구입니다. 미미카츠는 인증정보 도용에 악용되는 것으로 의심되며, 탈취한 도메인 관리자 인증정보는 원격 데스크톱 프로토콜(RDP) 및 PowerShell 원격을 통한 측면 이동에 사용됩니다.
또한 BlackByte 2.0 랜섬웨어는 바이러스 백신 프로그램을 회피하고 Windows 방화벽, 레지스트리 및 현재 프로세스를 조작할 수 있습니다. 또한 네트워크 공유의 데이터를 암호화하고 다른 방법으로 흔적을 위장하여 분석을 어렵게 만들 수 있습니다.
이 글의 출처는 TheHackerNews의 기사입니다.