IOC:
http://Jumpsecuritybusiness.com
3.220.57.224
72.26.218.86
71.6.232.6
172.16.116.149
78.153.199.241
72.26.218.86
5.233.194.222
27.147.155.27
192.168.10.54
87.251.67.65
71.6.232.6
64.62.197.182
43.241.25.6
31.43.185.9
194.26.29.113
60c14e91dc3375e4523be5067ed3b111
13fd9a89b0eede26272934728b390e06
7E37F198C71A81AF5384C480520EE36E
요약:
러시아-우크라이나 전쟁 당시 소스코드 유출로 악명 높은 콘티 랜섬웨어 그룹이 해체되면서 락비트 그룹이 지배력을 주장해왔다. 이 그룹은 새로운 탈취 기술을 채택하고 많은 기능과 함께 최초의 버그 바운티 프로그램을 추가하여 새로운 누출 사이트를 발전시켰습니다. 조사 및 분석 결과, 새로운 LockBit 3.0 변종은 감염 벡터와 공격 체인이 높고 상당한 항포렌식 활동을 나타내는 것으로 확인되었습니다.
공격 개요
록비트의 새로운 블랙 변종은 이벤트 로그를 지우고, 여러 작업을 죽이고, 서비스를 동시에 삭제하는 포렌식 방지 활동을 보여주었다. 다양한 IP에서 SMB 무차별 강제를 통해 공격 대상자의 네트워크에 대한 초기 액세스 권한을 얻습니다.
그림 1 – 공격 체인
시스템 내부 도구 PSEXEC는 악의적인 BAT 파일을 단일 시스템에서 실행하는 데 사용되며 나중에 제거됩니다. 다음 파일은 바이러스 백신을 동시에 비활성화하면서 RDP 및 인증 설정을 수정하는 것과 관련된 작업을 나타냅니다:
C:\Windows\system32\cmd.exe /c "openrdp.bat"
C:\Windows\system32\cmd.exe /c "mimon.bat"
C:\Windows\system32\cmd.exe /c "auth.bat"
C:\Windows\system32\cmd.exe /c "turnoff.bat"
PSEXEC는 또한 랜섬웨어 페이로드를 실행하기 위해 피해자의 네트워크를 가로질러 측면으로 퍼지는 데 사용된다. 암호화는 공유 드라이브만 암호화되는 다중 스레드 방식을 사용하여 수행됩니다. 실행된 페이로드에는 명령줄 옵션 '-pass'와 함께 유효한 키가 전달되어야 합니다 암호화된 파일에는 .zbzdbs59d 확장자가 추가되며, 이는 빌더가 임의의 정적 문자열로 각 페이로드를 생성함을 의미합니다.
페이로드 분석
랜섬웨어 페이로드는 윈도우 디렉터리 안에 떨어지며, 모든 변형은 인수로 전달되기 위해 고유한 키를 필요로 한다. 이 기능은 이전에 BlackCat 및 Egregor와 같은 다른 랜섬웨어 그룹에서 사용하는 것으로 알려졌습니다. 페이로드의 이름이 Lock.exe에서 다른 것으로 변경되거나...
LockBit Black의 공격 체인 및 포렌식 방지 활동 파악:
https://blogs.quickheal.com/uncovering-lockbit-blacks-attack-chain-and-anti-forensic-activity/
'Security > News' 카테고리의 다른 글
포보스 랜섬웨어가 DLL 사이드 로딩을 사용하고 있는 것으로 밝혀졌다 - K7 Labs 관련 IOC 5개 발견 (0) | 2023.02.03 |
---|---|
Rapid7은 Redline Infosteler | Rapid7 블로그를 확산하기 위해 Microsoft OneNote를 사용하는 것을 관찰합니다 관련 IOC 9개 발견 (0) | 2023.02.03 |
CMSTP를 사용한 UAC 바이패스 관련 IOC 3개 발견 (0) | 2023.02.03 |
HeadCrab: 세계적인 캠페인에서 새로운 최첨단 Redis 악성코드 관련 IOC 8개 발견 (0) | 2023.02.03 |
사기성 "Crypto Rom" 거래 앱이 Apple 및 Google 앱 스토어에 잠입합니다 – Sophos News 관련 IOC 5개 발견 (0) | 2023.02.03 |