기술 지원
문서
로그인
문의하기
연구원, FIN7과 Black Basta 랜섬웨어의 유사한 도구 발견
2022년 11월 14일 TuxCare 홍보팀
SentinelOne의 보안 연구원에 따르면, 비교적 새로운 랜섬웨어 조직인 Black Basta는 악명 높은 FIN7 해킹 그룹과 도구 및 인력을 공유하고 있을 가능성이 있습니다.
연구진은 블랙 바스타 랜섬웨어 공격자가 엔드포인트 탐지 및 대응 시스템을 우회하는 데 사용하는 도구를 발견했습니다.
블랙 바스타가 사용하는 멀웨어는 이 그룹이 독점적으로 사용하며, 동일한 개발자가 해커에 의해 비활성화되었다는 사실을 피해자가 알지 못하도록 윈도우 디펜더의 그래픽 사용자 인터페이스를 조작하는 데 도움이 되는 사용자 지정 도구도 만듭니다.
조사된 멀웨어 중 하나에는 BIRDDOG라는 백도어가 장착되어 있었습니다. BIRDDOG는 과거 FIN7이 배포한 것과 동일한 방탄 호스팅 서비스를 사용하여 명령 및 제어 서버에 신호를 보내는 데 사용된 적이 있습니다.
연구원들은 공개 멀웨어 저장소에서 발견된 코드 샘플이 버드독이 출현하기 두 달 전의 동일한 패커를 사용한다는 사실을 발견했지만, 버드독을 압축하는 데 사용된 패커가 업데이트된 버전이라는 결론을 내렸습니다.
"블랙 바스타가 사용한 손상 도구를 개발한 위협 행위자가 FIN7 작전에 사용된 패커 소스 코드에 액세스할 수 있는 동일한 행위자일 가능성이 높다고 평가하며, 따라서 두 그룹 간의 연결 가능성이 처음으로 확인되었습니다. 이 시점에서 FIN7 또는 계열사가 새로운 작업과 기존 작업을 분리하기 위해 도구를 처음부터 새로 작성하기 시작했을 가능성이 높습니다. 우리의 분석에 따르면, 위에서 설명한 사용자 지정 손상 도구가 그러한 도구 중 하나라고 생각합니다."라고 센티넬원 연구원 안토니오 코코마찌와 안토니오 피로찌는 말합니다.
FIN7은 러시아 영토에서 활동하는 것으로 추정되는 사이버 범죄 그룹으로, 블랙매터 및 다크사이드 랜섬웨어와 관련이 있는 것으로 알려져 있습니다. FIN7 그룹은 2013년에 설립된 것으로 추정되며, 2020년에 산발적으로 랜섬웨어가 작동하고 있습니다. 공격자들은 카바낙, 버드독, 그리폰, 다이셀로더와 같은 여러 멀웨어 제품군을 사용합니다. 일단 백도어를 확보한 공격 그룹은 랜섬웨어가 최종적으로 배포되기까지 평균 6~8개월의 체류 시간을 가지고 시스템 내에서 측면 이동을 계속할 수 있습니다.
이 글의 출처는 SCMagazine에 실린 기사입니다.
유튜브 채널에서 이 소식을 확인하세요: https://bit.ly/3UCSY3n
