banner
홈페이지 / 소식 / 선인장 랜섬웨어
소식

선인장 랜섬웨어

Sep 08, 2023Sep 08, 2023

2023년 5월 10일 (수)

로리 이아코노

스티븐 그린

데이브 트루먼

Kroll Cyber ​​Threat Intelligence 분석가들은 2023년 3월부터 대규모 상업 기업을 표적으로 삼는 CACTUS라는 새로운 랜섬웨어 변종을 식별했습니다. "CACTUS"라는 이름은 랜섬 노트에 제공된 파일 이름인 cAcTuS.readme.txt와 자체 랜섬웨어에서 파생되었습니다. 몸값 메모 자체에 이름이 선언되었습니다. 암호화된 파일에는 .cts1이 추가되지만 Kroll은 확장명 끝의 숫자가 사건과 피해자에 따라 달라지는 것으로 관찰되었다고 지적합니다. Kroll은 Tox라고 알려진 P2P 메시징 서비스를 통해 민감한 데이터가 유출되고 피해자가 강탈하는 것을 목격했지만 분석 당시 알려진 피해자 유출 사이트는 확인되지 않았습니다.

Kroll의 경험에 따르면 CACTUS는 중복되는 전술, 기술 및 절차(TTP) 세트를 배포했습니다. 여기에는 랜섬웨어 바이너리를 배포하기 위해 보안 소프트웨어를 비활성화하는 Chisel, Rclone, TotalExec, Scheduled Tasks 및 사용자 지정 스크립트와 같은 도구의 사용이 포함됩니다. Kroll은 위협 행위자가 VPN 어플라이언스를 이용하여 초기 액세스 권한을 얻는 것을 관찰했습니다. 흥미롭게도 CACTUS는 C:\ProgramData 내의 ntuser.dat라는 파일을 활용하여 AES 키를 전달하여 RSA 공개 키를 해독하고 바이너리를 해독하는 것이 관찰되었습니다. 이 바이너리는 예약된 작업을 통한 영구 실행에 사용됩니다.

이 공지 당시 사용 가능한 정보에 따르면 Kroll 침입 수명주기의 1단계 초기 공격은 취약한 VPN 어플라이언스의 공격을 통해 제공될 가능성이 가장 높습니다. 이 전술은 Kroll이 조사한 여러 CACTUS 사건에서 공통적으로 평가되고 관찰되었습니다. 관찰된 모든 사례에서 위협 행위자의 액세스 권한은 VPN 서비스 계정이 있는 VPN 서버에서 획득되었습니다. 그 후, 위협 행위자의 명령 및 제어(C2)에 SSH 백도어가 설정되어 예약된 작업을 통해 지속적인 액세스를 유지합니다.

그림 1 - install.bat

MITRE ATT&CK - T1190: 공용 애플리케이션 악용MITRE ATT&CK - T1021.004: SSHMITRE ATT&CK - T1053.005: 예약된 작업

네트워크 내부에 진입한 위협 행위자는 SoftPerfect Network Scanner(netscan)를 통해 초기 내부 정찰을 수행합니다. PowerShell 명령은 끝점을 열거하고, Windows 보안 4624 이벤트를 확인하여 사용자 계정을 식별하고, 원격 끝점을 ping하기 위해 실행됩니다. 이러한 명령의 출력은 호스트 시스템에 텍스트 파일로 저장됩니다. 출력 파일은 나중에 랜섬웨어 바이너리 실행에 사용됩니다.

그림 2 – PowerShell 열거

Kroll은 PSnmap.ps1이라는 PowerShell과 동등한 NMAP 역할을 하는 오픈 소스 스크립트의 수정된 버전도 확인했습니다. 이는 또한 네트워크 내의 다른 엔드포인트를 식별하기 위해 실행됩니다.

MITRE ATT&CK - T1049: 시스템 네트워크 연결 검색MITRE ATT&CK - T1087.002: 도메인 계정MITRE ATT&CK - T1018: 원격 시스템 검색MITRE ATT&CK - T1087: 계정 검색

환경 내에서 지속성을 유지하기 위해 위협 행위자는 다양한 원격 액세스 방법을 만들려고 시도합니다. Kroll은 Cobalt Strike 및 SOCKS5 프록시 도구인 Chisel과 함께 Splashtop, AnyDesk 및 SuperOps RMM과 같은 합법적인 원격 액세스 도구의 사용을 확인했습니다. Chisel은 방화벽을 통해 트래픽을 터널링하여 위협 행위자의 C2에 숨겨진 통신을 제공하고 엔드포인트에 추가 스크립트와 도구를 가져오는 데 사용될 가능성이 높습니다.

위협 행위자가 올바른 액세스 수준을 설정한 후(에스컬레이션 참조) msiexec를 활용하여 소프트웨어 GUID를 통해 일반적인 안티 바이러스 소프트웨어를 제거하는 배치 스크립트를 실행합니다. 최소 한(1) 건의 사고에서 Bitdefender 그림 3과 같은 제거 프로그램입니다.

그림 3 - 안티 바이러스를 비활성화하는 배치 스크립트 섹션

MITRE ATT&CK - T1219: 원격 액세스 소프트웨어MITRE ATT&CK - T1090: ProxyMITRE ATT&CK - T1562.001: 도구 비활성화 또는 수정