BianLian 랜섬웨어 탐지: AA23-136A 공동 사이버 보안 자문 – BianLian 운영자가 진행 중인 악의적인 캠페인에서 사용하는 TTP의 세부 사항
목차:
이란과 연계된 해킹 집단으로 추적된 사이버 공격의 물결에 따라 Pioneer Kitten이 발생했습니다. FBI, CISA 및 공동 저자 파트너는 BianLian 랜섬웨어 그룹에 의해 가해지는 증가하는 위협을 방어자들에게 알리는 새로운 경고를 발행했으며, 이는 주로 미국과 호주의 중요한 기반 시설 조직을 대상으로 합니다.
BianLian 랜섬웨어 탐지
Sophos의 2024 랜섬웨어 상태 보고서에 따르면, 전 세계의 59%의 조직이 랜섬웨어 공격을 겪었으며, 이 중 70%가 성공적인 데이터 암호화로 끝났습니다. 평균 랜섬 요구 금액은 2024년에 273만 달러로 급증했으며, 이는 2023년과 비교해 거의 100만 달러 증가했습니다. 이는 랜섬웨어 탐지를 적극적으로 수행해야 할 긴급성을 강조하며 사이버 방어자의 최우선 과제 중 하나가 되었습니다.
CISA, FBI 및 파트너(AA23-136A)의 최신 공동 권고에 따라 보안 전문가에게 BianLian 랜섬웨어 운영자가 사용하는 새로운 전술, 기술 및 절차에 대해 경고합니다. 조직이 BianLian 랜섬웨어 공격을 적극적으로 탐지할 수 있도록 SOC Prime의 집합적 사이버 방어 플랫폼은 관련 Sigma 규칙 세트를 집계합니다. 모든 탐지는 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크 에 매핑되어 보안 전문가가 위협 조사 및 사냥 활동을 간소화하는 데 도움을 줍니다.
버튼을 누르세요 탐지 탐색 버튼 아래에 BianLian 랜섬웨어 공격을 탐지하기 위한 탐지 콘텐츠 번들을 바로 탐색하세요.
BianLian 공격을 역으로 분석하고 랜섬웨어 갱과 관련된 악의적인 활동에 대한 더 많은 맥락을 얻으려면 보안 전문가가 이 링크를 따라 더 관련된 콘텐츠를 확인할 수 있습니다. 콘텐츠 검색을 간소화하기 위해 SOC Prime은 “AA23-136A” 및 “BianLian”이라는 사용자 지정 태그를 필터링하는 기능을 지원합니다 위협 탐지 마켓플레이스.
보안 전문가들은 또한 Uncoder AI를 사용하여 신속하게 침입 지표를 사냥할 수 있습니다. Uncoder AI는 IOC 패키지 관리자로 작동하며, 사이버 방어자가 IOCs를 쉽게 해석하고 맞춤형 사냥 쿼리를 생성할 수 있게 합니다. 이러한 쿼리는 그들이 선호하는 SIEM 또는 EDR 시스템에 즉시 실행할 수 있도록 원활하게 통합될 수 있습니다.
BianLian 랜섬웨어 그룹 공격 분석
2024년 11월 20일, 미국 및 호주의 선도적인 공동 저자 조직들은 새로운 AA23-136A 사이버 보안 경고 를 발행해 BianLian 랜섬웨어 갱의 공격이 증가하고 있음을 글로벌 사이버 방어자 커뮤니티에 경고했습니다. 해킹 그룹은 ransomware 개발, 배포 및 데이터 갈취에 관여하고 있으며, 러시아에서 운영되고 있을 가능성이 있으며, 그 나라에 여러 ransom 및 파트너들이 있는 것으로 보입니다.
2022년 여름 초부터 BianLian은 미국과 호주 뿐만 아니라 전문 서비스 및 부동산 개발 조직의 중요한 기반 시설 섹터를 공격해 왔습니다. 공격자들은 유효한 RDP 자격 증명을 통해 대상 시스템에 접근하고, 탐색 및 자격 증명 수집을 위해 오픈 소스 유틸리티를 사용하며, 데이터를 FTP, Rclone, 또는 Mega를 통해 불법적으로 빼돌립니다. 처음에는 이중 갈취 모델을 사용했으며 2023년 1월부터 데이터 불법이동 기반의 갈취로 전환하여 2024년 1월에는 독점적으로 이 방법을 사용했습니다.
BianLian 랜섬웨어 갱은 Windows 및 ESXi 인프라 모두에서 공개적으로 노출된 애플리케이션을 활용하기 위해 초점을 맞추고 있으며, 초기 접근을 위해 ProxyShell 익스플로잇 체인 (CVE-2021-34473, CVE-2021-34523, 및 CVE-2021-31207)을 사용할 가능성이 있습니다.
공격자들은 또한 맞춤형 Go로 작성된 맞춤형 백도어를 배포하고 영구성을 위한 원격 관리 소프트웨어를 설치하며 로컬 관리자 계정을 생성하거나 수정할 수 있습니다. 그들은 Ngrok 및 수정된 Rsocks와 같은 도구를 역 프록시 및 SOCKS5 네트워크 터널링에 사용하여 C2 트래픽을 감추는 데 사용할 수 있습니다. 더욱이, BianLian은 Windows 10/11에서 권한 상승을 위해 CVE-2022-37969를 무기화하는 것이 관찰되었습니다.
해킹 집단은 탐지를 방해하기 위해 다양한 기술을 적용합니다. 예를 들어, 그들은 PowerShell 및 Windows 명령 셸을 사용해 Windows Defender 및 AMSI를 포함한 안티바이러스 도구를 비활성화합니다. 그들은 Sophos와 같은 서비스의 조작 보호를 비활성화하기 위해 Windows 레지스트리를 수정하여 이러한 서비스를 제거할 수 있게 합니다. 또한, 그들은 이진 파일 및 예약된 작업의 이름을 합법적인 Windows 서비스나 보안 도구와 유사하게 변경할 수 있으며, 탐지 회피를 위해 UPX로 실행 파일을 압축할 수 있습니다.
BianLian 그룹은 또한 피해자의 환경에 대한 정보를 수집하기 위해 컴파일된 도구와 네이티브 Windows 유틸리티를 혼합하여 사용합니다. 예를 들어, Advanced Port Scanner를 사용하여 열려 있는 포트를 식별하고, SoftPerfect Network Scanner를 사용해 컴퓨터에 핑을 보내고 공유 폴더를 발견하며, SharpShares로 네트워크 공유를 열거하고, PingCastle로 Active Directory를 열거합니다.
게다가, 적들은 측면 이동 및 추가 공격 활동을 위해 유효한 계정을 악용합니다. 그들은 Windows 명령 셸을 사용해 로컬 기계에서 안전하지 않은 데이터를 찾고, LSASS 메모리에서 자격 증명을 추출하며, RDP Recognizer와 같은 도구를 다운로드해 RDP 비밀번호를 무차별 대입하거나 취약성을 점검합니다. 특히, 적들은 랜섬을 지불하도록 피해자를 강요하기 위해 네트워크 프린터에 랜섬 노트를 인쇄하거나 대상 조직의 직원들에게 위협적인 전화를 거는 등의 추가 전술을 적용합니다.
러시아와 연결된 BianLian 랜섬웨어 협력자들과 관련된 중요한 기반 시설 부문에 대한 사이버 공격의 증가하는 양은 글로벌 조직이 그들의 방어를 강화하기 위한 실현 가능한 보안 솔루션을 찾도록 자극합니다. BianLian 그룹의 공격자에 의한 랜섬웨어 공격의 위험을 최소화하기 위해 방어자들은 RDP 사용을 제한하고, 명령 줄 및 스크립팅 권한을 비활성화하며 Windows 시스템의 PowerShell 접근을 제한하는 것을 권장합니다. 또한, 최첨단 기술로 뒷받침된 적극적인 사이버 보안 전략을 제때에 적용하면 보안 팀이 새로 발생하는 위협을 효과적으로 차단하고 보안 태세를 미래에 대비할 수 있게 합니다. SOC Prime의 집합적 사이버 방어 플랫폼 은 커뮤니티 주도 위협 인텔리전스 및 AI로 뒷받침된 차세대 솔루션으로 다양한 산업 수직의 조직에 가장 복잡한 공격으로부터 조직의 비즈니스에 가장 큰 위협을 주는 공격을 적극적으로 방어할 수 있도록 합니다.