락빗(lockbit) 블랙의 공격 체인과 안티 포렌식 활동

IOC:
87.251.67.65
13fd9a89b0eede26272934728b390e06
43.241.25.6
27.147.155.27
71.6.232.6
7E37F198C71A81AF5384C480520EE36E
78.153.199.241
192.168.10.54
64.62.197.182
72.26.218.86
http://Jumpsecuritybusiness.com
5.233.194.222
60c14e91dc3375e4523be5067ed3b111
31.43.185.9
194.26.29.113
172.16.116.149
3.220.57.224

요약:
락빗 그룹은 컨티 랜섬웨어 그룹을 대체하고 새로운 강제로 추진하는 방법을 도입했으며, 버그 바운티 프로그램이 최초로 있었습니다. LockBit의 새로운 블랙 변종은 높은 감염 벡터와 공격 체인을 보여 안티 포렌식 활동을 합니다. 초기 접근을 얻기 위해 SMB 브루트 포싱, PSEXEC 및 BAT 파일을 사용하며, PSEXEC를 사용하여 랜섬웨어 페이로드를 전파합니다. 독특한 키가 필요하며, 파일이 .zbzdbs59d 확장자로 추가됩니다. 이 기능은 BlackCat과 Egregor 등 다른 랜섬웨어 그룹과 공유됩니다.

내용:
rectory, It will not support the -pass option.
잇에서 러시아-우크라이나 전쟁 때 소스 코드 누출로 유명한 Conti 랜섬웨어 그룹이 해체되자 LockBit 그룹이 지배력을 다졌다. 이 그룹은 뉴 익스토랙 션 기법과 처음 보는 버그 바운티 프로그램, 많은 기능들과 함께 새로운 누출 사이트를 개발하려고 애쓰고 있다. 우리는 조사 및 분석을 통해 새로운 LockBit 3.0 변형 가 고강도 인젝션 벡터 및 어택 체인을 보여주며 대단한 안티-포렌식 활동을 하고 있다고 판단했다.
공격 개요
LockBit의 새로운 Black 변형은 이벤트 로그를 제거하고 다중 작업들을 종료하고 동시에 서비스를 삭제하는 안티-포렌식 활동을 보였다. 그것은 다양한 IP로부터 SMB 기반 강제 접근을 통해 가해자 네트워크에서 첫번째 접근권을 얻는다. Fig. 1 – Attack Chain
시스템 내부 도구 PSEXEC을 사용하여 배포 된 단일 시스템에 이후에 제거 된 악성 배치 파일들을 실행한다. 이 파일들은 RDP & 인증 설정의 수정과 동시에 안티바이러스를 방지하는 관련 활동과 관련이 있다:
C: \ Windows \ system32 \ cmd.exe / c "" openrdp.bat ""
C: \ Windows \ system32 \ cmd.exe / c "" mimon.bat ""
C: \ Windows \ system32 \ cmd.exe / c "" auth.bat ""
C: \ Windows \ system32 \ cmd.exe / c "" turnoff.bat ""
PSEXEC는 또한 가해자 네트워크를 각각 사이로 전파하여 랜섬웨어 페이로드를 실행하기 위해 사용된다. 암호화는 다중 스레드 접근 방법으로 이루어지며 오직 공유된 드라이브 만 암호화된다. 실행된 페이로드는 명령-라인 옵션 '-pass'의 함께 유효한 키를 가져야한다. 암호화 된 파일은 확장자 '.zbzdbs59d'로 붙혀져 있으며, 이것은 빌더가 각 페이로드에 랜덤 정적 문자열을 생성한다는 것을 시사한다.
페이로드 분석
랜섬웨어 페이로드는 Windows 디렉토리로 내려지며, 각 변형은 인수로 전달해야하는 고유 키가 필요하다. 이 기능은 이미 BlackCat과 Egregor같은 다른 랜섬웨어 그룹에 의해 사용되고 있는 것이 밝혀졌다. 페이로드 이름이 'Lock.exe'에서 다른 이름으로 변경되거나 다른 디렉토리로 놓이더라도 -pass 옵션을 지원하지 않는다......

Open New Windows

락빗 블랙의 공격 체인과 안티 포렌식 활동을 밝히는:
https://blogs.quickheal.com/uncovering-lockbit-blacks-attack-chain-and-anti-forensic-activity/