본문 바로가기
Security/News

AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어 - ASEC BLOG 관련 IOC 9개 발견

by 올엠 2023. 2. 3.
반응형

IOC:
http://upload.paradisenewgenshinimpact.top/DP_Main.exe
http://upload.paradisenewgenshinimpact.top/DP_Main.exe
http://upload.paradisenewgenshinimpact.top:2095/api/Encrypted.php
http://upload.paradisenewgenshinimpact.top/DP_Main.exe
http://upload.paradisenewgenshinimpact.top/DP_Main.exe
http://upload.paradisenewgenshinimpact.top:2095/api/Encrypted.php
main@paradisenewgenshinimpact.top.honkai
main@paradisenewgenshinimpact.top
5cbbc1adfd22f852a37a791a2415c92c

요약:
Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다.

Sunlogin 취약점 공격으로 유포 중인 Sliver 악성코드 with BYOVD


1. AweSun 취약점 공격
Sliver C2 공격 사례를 모니터링하던 중 공격자들이 Sunlogin 외에도 AweRay 사의 AweSun 원격 제어 프로그램을 이용하여 Sliver C2를 설치하고 있는 것을 확인하였다. [1]

Figure 1. AweSun 원격 제어 프로그램

Figure 2. AweSun이 생성한 파워쉘에 의해 설치되는 Sliver C2
AweSun에 대한 구체적인 취약점 공격 정보는 확인되지 않는다. 하지만 Sunlogin 취약점을 악용한 동일한 공격자라는 사실과 AweSun 프로세스의 자식 프로세스로 생성된 파워쉘에 의해 Sliver C2가 설치되었다는 점을 통해 해당 공격 또한 취약점 공격인 것을 추정할 수 있다. 그리고 현재 v2.0 이상인 최신 버전의 AweSun.exe와 비교해서 공격에 사용된 AweSun은 수 년 전에 배포된 v1.5, v1.6 버전이 사용되었다.
이외에도 공격에 사용된 명령을 보면 이전 Sunlogin 취약점에서 사용된 PoC와 유사하게 다음과 같이 ping 명령이 포함된 공격 명령을 확인할 수 있다. 현재 해당 주소에서 다운로드는 불가하지만 URL의 형태를 보면 코발트 스트라이크를 설치하는 명령으로 추정된다.

Figure 3. AweSun 취약점 공격에 사용된 명령
공격자는 AweSun에 대한 취약점 공격을 Sunlogin 취약점 공격과 함께 사용하는 것으로 보인다. 위에서 언급한 Sliver나 BYOVD 악성코드, XMRig 코인 마이너 모두 두 개의 취약점 공격에서 동일하게 확인된다.
여기에서는 해당 취약점 공격의 최신 사례로서 Paradise 공격 사례를 다룬다. 다음은 자사 ASD(AhnLab Smart Defense) 로그이며, AweSun 프로세스에 의해 생성된 cmd 및 파워쉘을 통해 “DP_Main.exe” 즉 Paradise 랜섬웨어가 설치된 것을 확인할 수 있다.

Figure 4. Paradise 랜섬웨어 설치 로그

Paradise 랜섬웨어 다운로드 주소 : hxxps://upload.paradisenewgenshinimpact[.]top/DP_Main.exe


2. Paradise 랜섬웨어 분석
AweSun 취약점 공격으로 설치되는 Paradise는 닷넷으로 개발된 RaaS (Ransomware as a Service) 유형의 랜섬웨어로서 2017년부터 확인되기 시작했다. [2]

Figure 5. Paradise 랜섬웨어 Main 함수
개요 설명 암호화 방식 RSA-1024 / RSA-1024 암호화 제외 경로 “windows”, “firefox”, “chrome”, “google”, “opera”, “%APPDATA%\DP\”(설치 경로) 확장자 [id-EaObwi8A].[main@paradisenewgenshinimpact.top].honkai 랜섬노트 DECRYPT MY FILES#.html 기타 Run 키 등록. 볼륨 쉐도우 서비스 제거 Table 1. 랜섬웨어 개요
Paradise는 다양한 설정 파일을 이용한다. 먼저 암호화가 완료될 경우 “%APPDATA%DP\welldone.dp” 파일을 생성하며, 만약 현재 해당 파일이 존재할 경우에는 암호화 단계를 건너띄고 랜섬노트를 보여준다. Paradise는 관리자 권한으로 시스템을 암호화하기 때문에 현재 관리자 권한으로 실행되지 않은 경우에는 관리자 권한으로 다시 시작하는데 이때 “%APPDATA%DP\RunAsAdmin.dp” 파일이 사용된다. P.....

AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어 - ASEC BLOG:
https://asec.ahnlab.com/ko/47102/

'Security > News' 카테고리의 다른 글

윈도우 도움말 파일(*.chm) 로 유포 중인 AsyncRAT - ASEC BLOG 관련 IOC 39개 발견  (0) 2023.02.03
네이버 로그인화면으로 위장한 웹페이지 - ASEC BLOG 관련 IOC 7개 발견  (0) 2023.02.03
몰 버트 | .악성 광고 공격으로 번창하는 NET 가상화 - SentinelOne 관련 IOC 23개 발견  (0) 2023.02.03
Ghidra를 사용한 Reverse Engineering Go 바이너리, Part 2: 유형 추출, Windows PE 파일 및 Golang 버전 - CUJO AI 관련 IOC 11개 발견  (0) 2023.01.31
제로봇 봇넷: 세부적으로 사용되는 취약성 대상 및 취약성 - CUJO AI 관련 IOC 142개 발견  (0) 2023.01.31

태그

관련글

댓글0

티스토리툴바