ClickCease 블랙바이트 2.0 랜섬웨어 공격 증가 추세

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

블랙바이트 2.0 랜섬웨어 공격 증가 추세

2023년 7월 17일 TuxCare 홍보팀

Microsoft 인시던트 대응 팀의 새로운 보고서에 따르면 BlackByte 2.0 랜섬웨어 공격이 급증하고 있는 것으로 나타났습니다. 이러한 공격은 위협 행위자가 단 5일 만에 전체 공격 프로세스를 완료할 수 있을 정도로 빠르고 파괴적인 것이 특징입니다.

이 보고서에 따르면 블랙바이트 공격자들은 패치되지 않은 마이크로소프트 익스체인지 서버 익스플로잇, 원격 액세스를 위한 웹 셸 배포, 지속성 및 정찰을 위한 도구 사용, 명령 및 제어를 위한 코발트 스트라이크 비콘 배포 등 다양한 방법을 사용하여 목표를 달성하는 것으로 나타났습니다.

블랙바이트 공격자는 데이터를 암호화하는 것 외에도 손상된 시스템에 지속적으로 액세스할 수 있는 백도어를 배포합니다. 이를 통해 민감한 데이터를 훔치거나, 추가 멀웨어를 설치하거나, BlackByte2.0 랜섬웨어를 사용하여 다른 공격을 실행할 수도 있습니다.

위협 행위자는 패치되지 않은 Microsoft Exchange 서버의 취약점, 특히 CVE-2021-34473, CVE-2021-34523 및 CVE-2021-31207을 악용하여 액세스 권한을 얻었습니다. IP 주소 185.225.73.244에서 실행되기 시작했으며, 시스템 수준 액세스 권한을 획득한 후 사용자 로그인 시 페이로드를 실행하는 레지스트리 실행 키를 생성하고, 사용자 정보를 열거하고, 웹 셸을 구축하고, 표적 시스템에 대한 원격 제어를 설정하여 지속성을 개발했습니다.

그런 다음 위협 행위자는 api-msvc.dll이라는 백도어 파일을 사용하여 시스템 데이터를 수집하고 이를 hxxps://myvisit.alteksecurity.org/t에 위치한 명령 및 제어(C2) 서버로 보냈습니다. 또 다른 파일인 api-system.png도 비슷한 동작을 하며 지속성을 위해 실행 키를 사용했습니다. 지속성은 temp[.]sh에서 다운로드되어 109.206.243.59:443에서 C2 채널과 상호 작용하는 Cobalt Strike Beacon(sys.exe)을 사용하여 달성되었습니다.

또한, 위협 행위자는 지속성을 유지하고 네트워크 마이그레이션을 지원하기 위해 서비스로 설치된 원격 액세스 프로그램인 AnyDesk를 사용했습니다. AnyDesk 로그에서 TOR 및 MULLVAD VPN 연결을 확인할 수 있습니다.

위협 행위자는 네트워크 검색 도구인 NetScan(netscan.exe 및 netapp.exe)과 Active Directory 정찰 도구인 AdFind(f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e)를 사용하여 네트워크를 열거하는 데 사용했습니다. 데이터 스테이징 및 유출은 Microsoft Defender 안티바이러스를 비활성화하는 파일인 explorer.exe(Trojan:Win64/WinGoObfusc.LK!MT)를 사용하여 수행되었습니다.

이 ExByte 파일은 블랙바이트 랜섬웨어 공격에서 파일을 수집하고 유출하는 데 자주 사용되는 도구입니다. 미미카츠는 인증정보 도용에 악용되는 것으로 의심되며, 탈취한 도메인 관리자 인증정보는 원격 데스크톱 프로토콜(RDP) 및 PowerShell 원격을 통한 측면 이동에 사용됩니다.

또한 BlackByte 2.0 랜섬웨어는 바이러스 백신 프로그램을 회피하고 Windows 방화벽, 레지스트리 및 현재 프로세스를 조작할 수 있습니다. 또한 네트워크 공유의 데이터를 암호화하고 다른 방법으로 흔적을 위장하여 분석을 어렵게 만들 수 있습니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
블랙바이트 2.0 랜섬웨어 공격 증가 추세
기사 이름
블랙바이트 2.0 랜섬웨어 공격 증가 추세
설명
Microsoft 인시던트 대응 팀의 새로운 보고서에 따르면 BlackByte 2.0 랜섬웨어 공격이 급증하고 있는 것으로 나타났습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기