본문 바로가기
Security/News

BlackBit 랜섬웨어와 유사한 LokiLocker 랜섬웨어 국내 유포 중 - ASEC BLOG

by 올엠 2023. 6. 5.
반응형

Impotant:
d03823a205919b6927f3fa3164be5ac5

요약:
LokiLocker 랜섬웨어와 BlackBit 랜섬웨어 모두 닷넷 리액터를 활용하여 코드 난독화가 되어있다. ASEC에서는 BlackBit 랜섬웨어가 지난 9월부터 국내에서 유포되고 있으며, 이와 비슷한 LokiLocker 랜섬웨어도 국내에서 유포 중인 것으로 확인되었다. 두 랜섬웨어 모두 svchost.exe를 위장하여 유포되며 닷넷 리액터를 활용하여 코드 난독화가 되어있다. ASEC에서는 BlackBit 랜섬웨어가 지난 9월부터 국내에서 유포되고 있으며, LokiLocker 랜섬웨어도 국내에서 유포 중인 것으로 확인되었다. 두 랜섬웨어는 svchost.exe를 위장하여 유포되며 닷넷 리액터를 활용하여 코드 난독화가 되어있다.

내용:
AhnLab Security Emergency response Center(ASEC)에서는 LokiLocker 랜섬웨어가 국내 유포 중 임을 확인하였다. 해당 랜섬웨어는 BlackBit 랜섬웨어와 매우 유사한 형태이며 이전 블로그에서도 유사함이 언급된 바 있다. 유사점을 간추리면 다음과 같다.
LokiLocker 랜섬웨어와 BlackBit 랜섬웨어의 유사점 svchost.exe 위장
동일 난독화 도구 사용 (닷넷 리액터)
작업스케줄러 및 레지스트리 등록 (악성코드 지속성)
랜섬노트 및 암호화 후 변경되는 파일 아이콘 이미지
BlackBit 랜섬웨어 국내 유포 중 – ASEC BLOG AhnLab Security Emergency response Center(ASEC)에서는 모니터링 중 svchost.exe로 위장한 BlackBit 랜섬웨어가 유포중인 것을 확인하였다. ASEC 내부 인프라를 통해 확인한 결과, BlackBit 랜섬웨어는 작년 9월경부터 유포되기 시작하여 현재까지 유포되고 있는 것으로 확인되었다. BlackBit 랜섬웨어는 닷넷 리액터를 활용하여 코드 난독화가 되어있는데, 이러한 형태는 분석을 방해하기 위함으로 추정된다. 실제 동작하는 랜섬웨어는 LokiLocker 랜섬웨어와 유사한 특징을 확인할… svchost.exe 위장
지난번 소개한 BlackBit 랜섬웨어의 경우에도 svchost.exe를 위장하였으며, 이번에 수집한 LokiLocker 랜섬웨어도 동일하게 svchost.exe를 위장하여 유포되는 특징이 있다. 동일 패커 사용 (닷넷 리액터)
분석을 방해하기 위해 닷넷 리액터를 활용하여 코드 난독화가 되어있다. 언패킹한 BlackBit 랜섬웨어를 보면, LokiLocker 랜섬웨어에서 파생된 악성코드인 점을 확인할 수 있다. 작업스케줄러 및 레지스트리 등록 (악성코드 지속성)
행위적 측면에서도 유사한 점을 확인할 수 있다. 아래 그림을 보면, LokiLocker 랜섬웨어는 암호화 이전에 “Loki”로 작업 스케줄러 등록 및 레지스트리 등록을 수행한다. 또한, 암호화 행위 이전에 랜섬노트를 생성하는 특징이 있다. 이후에는 복구 방지를 위한 볼륨쉐도우 삭제 및 정보 유출과 탐지 방해를 위한 목적의 행위를 수행한다. 랜섬노트 및 암호화 후 변경되는 파일 아이콘 이미지
최종적으로 감염시, LokiLocker 랜섬웨어는 각 감염 경로 폴더에 Restore-My-Files.txt명의 랜섬노트를 생성하고 아래와 같이 랜섬 노트를 띄운다. 확인되는 랜섬노트와 감염 파일의 아이콘 역시 BlackBit 랜섬웨어와 굉장히 유사한 것을 확인할 수 있다.
안랩 V3 제품에서는 파일 진단, 행위 기반 진단 등을 포함하여 다양한 탐지 포인트로 LokiLocker 랜섬웨어를 탐지 및 대응하고 있다. 랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.
[파일 진단] Ransomware/Win.Loki.C5421356 (2023.05.03.00)
[행위 진단] Ransom/MDP.Delete.M2117
[IOC] d03823a205919b6927f3fa3164be5ac5
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다. Categories: 악성코드 정보
Tagged as: 랜섬웨어.....

Open New Windows

BlackBit 랜섬웨어와 유사한 LokiLocker 랜섬웨어 국내 유포 중 - ASEC BLOG:
https://asec.ahnlab.com/ko/52381/

반응형

'Security > News' 카테고리의 다른 글

ASEC 주간 악성코드 통계 (20230529 ~ 20230604) - ASEC BLOG 관련 IOC 50개 발견  (0) 2023.06.09
새로운 정보 스틸러 산적 스틸러는 브라우저, 비트코인 지갑을 대상  (0) 2023.06.05
해커, 평판이 좋은 합법적 인 웹 사이트를 사용하여 신용 카드 스키머를 배포  (0) 2023.06.05
공격중인 Moveit 이전 : 제로 데이 취약성이 적극적으로 이용  (0) 2023.06.05
Money Ransomware : 최신 이중 강탈 그룹  (0) 2023.06.05

관련글

티스토리툴바