링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

SmokeLoader를 통해 새로운 Phobos 랜섬웨어 변종을 배포하는 8Base 그룹

배후에 있는 위협 행위자 8Base 랜섬웨어 금전적 동기를 지닌 공격을 수행하기 위해 Phobos 랜섬웨어의 변종을 활용하고 있습니다.

이번 조사 결과는 사이버 범죄자의 활동이 증가했다는 사실을 기록한 Cisco Talos에서 나온 것입니다.

보안 연구원 Guilherme Venere는 금요일에 발표된 철저한 2부 분석에서 “그룹의 Phobos 변종 대부분은 백도어 트로이 목마인 SmokeLoader에 의해 배포됩니다.”라고 밝혔습니다.

“이 상용 로더는 일반적으로 배포 시 추가 페이로드를 삭제하거나 다운로드합니다. 그러나 8Base 캠페인에서는 암호화된 페이로드에 랜섬웨어 구성 요소가 내장되어 있으며, 이 구성 요소는 해독되어 SmokeLoader 프로세스의 메모리에 로드됩니다.”

8Base는 사이버 보안 커뮤니티에서 비슷한 활동 급증이 관찰된 2023년 중반에 주목을 받았습니다. 적어도 2022년 3월부터 활동한다고 합니다.

2023년 6월 VMware Carbon Black의 이전 분석에서는 암호화된 파일에 “.8base” 파일 확장자를 사용하여 발견된 Phobos 랜섬웨어 샘플을 발견한 것 외에도 8Base와 RansomHouse 간의 유사성을 식별했습니다.

이로 인해 8Base가 Phobos의 후속 제품이거나 해당 작업을 수행하는 위협 행위자가 Vice Society 랜섬웨어 그룹과 유사하게 이미 기존 랜섬웨어 변종을 사용하여 공격을 수행하고 있을 가능성이 높아졌습니다.

사이버 보안

Cisco Talos의 최신 연구 결과에 따르면 SmokeLoader는 Phobos 페이로드를 실행하기 위한 런치패드로 사용되며, Phobos 페이로드는 지속성 설정, 대상 파일을 열어 둘 수 있는 프로세스 종료, 시스템 복구 비활성화, 백업 및 섀도우 삭제 등의 단계를 수행합니다. 사본.

또 다른 주목할만한 특징은 1.5MB 미만의 파일은 전체 암호화하고, 임계값을 초과하는 파일은 부분 암호화하여 암호화 속도를 높이는 것입니다.

또한 이 아티팩트는 하드 코딩된 키를 사용하여 암호화된 70개 이상의 옵션이 포함된 구성을 통합합니다. 이 구성은 UAC(사용자 계정 컨트롤) 우회 및 외부 URL에 대한 피해자 감염 보고와 같은 추가 기능을 잠금 해제합니다.

암호화에 사용되는 파일별 AES 키를 보호하는 데 사용되는 하드 코딩된 RSA 키도 있는데, Talos는 이 키가 랜섬웨어에 의해 잠긴 파일의 암호를 해독하는 데 도움이 될 수 있다고 말했습니다.

Venere는 “각 파일이 암호화되면 추가 메타데이터와 함께 암호화에 사용된 키가 하드 코딩된 공개 키와 함께 RSA-1024를 사용하여 암호화되고 파일 끝에 저장됩니다.”라고 설명했습니다.

“그러나 이는 개인 RSA 키가 알려지면 2019년 이후 Phobos 변종으로 암호화된 모든 파일을 안정적으로 해독할 수 있음을 의미합니다.”

포보스 랜섬웨어

2019년에 처음 등장한 Phobos는 Dharma(일명 Crysis) 랜섬웨어의 진화형으로, VirusTotal에서 발굴된 아티팩트의 양을 기준으로 이 랜섬웨어는 주로 Eking, Eight, Elbie, Devos 및 Faust 변종으로 나타납니다.

“샘플은 모두 동일한 소스 코드를 포함하고 있으며 다른 Phobos 계열사가 이미 잠긴 파일을 암호화하지 않도록 구성되었지만 배포되는 변종에 따라 구성이 약간 변경되었습니다.”라고 Venere는 말했습니다. “이는 랜섬웨어 구성 설정의 파일 확장자 차단 목록을 기반으로 합니다.”

Cisco Talos는 Phobos가 중앙 기관에 의해 긴밀하게 관리되는 동시에 동일한 RSA 공개 키, 연락처 이메일의 변형 및 정기적인 업데이트를 기반으로 다른 계열사에 서비스형 랜섬웨어(RaaS)로 판매되고 있다고 평가합니다. 랜섬웨어의 확장자 차단 목록.

Venere는 “확장 차단 목록은 시간이 지남에 따라 어떤 그룹이 동일한 기본 샘플을 사용했는지 알려주는 것으로 보입니다.”라고 말했습니다.

“많은 Phobos 샘플에서 발견되는 확장 차단 목록 […] 이전 Phobos 캠페인에서 잠긴 새 파일로 지속적으로 업데이트됩니다. 이는 과거에 누가 Phobos를 사용했는지 추적하는 제작자 뒤에 중앙 권한이 있다는 생각을 뒷받침할 수 있습니다. 그 의도는 포보스 계열사가 서로의 운영을 방해하는 것을 방지하는 것일 수 있습니다.”

개발은 FalconFeeds로 이루어집니다. 공개됨 위협 행위자가 C로 개발되었으며 “가상 머신 및 디버깅 도구에 대한 강력한 탐지 방지 조치” 기능을 갖춘 UBUD라는 정교한 랜섬웨어 제품을 광고하고 있다는 것입니다.

사이버 보안

또한 BlackCat 랜섬웨어 그룹이 미국 증권거래위원회(SEC)에 공식적으로 불만을 제기한 데 따른 것입니다. 피해자 중 하나인 MeridianLink가 영향을 받은 기업이 4개 사업 이내에 사건을 보고하도록 요구하는 새로운 공개 규정을 준수하지 못했다고 주장합니다. 일 동안 DataBreaches.net이 보고했습니다.

금융 소프트웨어 회사는 이후 11월 10일 사이버 공격의 표적이 되었음을 확인했지만 시스템에 대한 무단 액세스의 증거는 발견하지 못했다고 밝혔습니다.

SEC 공개 규칙은 다음 달 12월 18일까지 발효되지 않지만, 이례적인 압력 전술은 위협 행위자들이 이 공간을 면밀히 관찰하고 있으며 정부 규제를 자신들에게 유리하게 활용하고 피해자들이 비용을 지불하도록 기꺼이 구부리고 있다는 신호입니다.

즉, 해당 공격이 회사 수익에 “중요한” 영향을 미쳤다고 회사가 확인한 상황에만 이러한 조치가 적용된다는 점은 주목할 가치가 있습니다.

한편, 또 다른 랜섬웨어 집단인 LockBit은 ‘제휴사의 다양한 경험 수준’으로 인해 피해자에게 제공되는 예상보다 적은 합의금과 더 큰 할인 혜택을 언급하면서 2023년 10월부터 새로운 협상 규칙을 제정했습니다.

Analyst1의 세부 보고서에 따르면 LockBit 운영자는 “회사의 연간 수익에 따라 최소 몸값 요청을 예를 들어 3%로 설정하고 50% 이상의 할인을 금지합니다”라고 말했습니다.

“따라서 회사의 수익이 1억 달러라면 초기 몸값 요청은 300만 달러부터 시작해야 하며 최종 지불금은 150만 달러 이상이어야 합니다.”

이 기사가 흥미로웠나요? 우리를 따라 오세요 트위터 그리고 LinkedIn에서 우리가 게시하는 더 많은 독점 콘텐츠를 읽어보세요.

Leave A Reply

Your email address will not be published.