블랙 바스타 랜섬웨어 공격 탐지: FIN7 그룹이 사용한 새로운 맞춤형 도구에 의한 최근 악성 캠페인

The 블랙 바스타 랜섬웨어 그룹 2022년 4월 사이버 위협 영역에 등장했습니다. 이 해킹 집단은 사이버 공격 분야에서 비교적 새로운 것으로 간주될 수 있지만, 이미 적의 도구 키트를 빠르게 발전시키고 더 정교한 도구를 채택하여 악명 높은 명성을 얻었습니다. 사이버 보안 연구원들은 블랙 바스타 랜섬웨어 운영자의 최신 활동을 FIN7 러시아 연계 해킹 그룹 과 연결짓고 있습니다. 이는 후자의 공격 능력에 속하는 새로운 방어 무력화 도구를 사용한 것에 기반합니다.

블랙 바스타의 최신 공격 탐지

상대적으로 새로운 블랙 바스타 랜섬웨어 그룹이 아스널을 향상시키고 새로운 맞춤형 도구 및 기술로 이를 풍부하게 함에 따라, 사이버 보안 전문가들은 이러한 규모와 영향의 랜섬웨어 공격을 막기 위한 관련 방어 능력을 적시에 갖춰야 합니다. SOC Prime의 Detection as Code 플랫폼은 최근 새로운 Sigma 규칙 을 블랙 바스타 랜섬웨어 공격 탐지를 위해 발행했습니다. 이 규칙은 우리의 뛰어난 Threat Bounty 개발자인 Kyaw Pyiyt Htet (Mik0yan):

의 손에서 제작되었습니다. 의심스러운 FIN7의 블랙 바스타 랜섬웨어 작전: 관련 이벤트 탐지를 통한 (via registry_key)

이 Sigma 규칙은 가장 최근의 공격에서 FIN7 해킹 집단과 연계된 블랙 바스타 랜섬웨어 운영자들이 사용한 지속적인 레지스트리 실행 키를 탐지합니다. 이 탐지는 22개의 SIEM, EDR, 및 XDR 기술에 걸쳐 사용할 수 있으며, MITRE ATT&CK® 프레임워크 와 일치합니다. 이는 지속성 전술과 해당되는 부팅 또는 로그온 자동 시작 실행 (T1547) 기술을 다룹니다.

사이버 보안 산업은 적을 상대하는 끝없는 싸움에서 서로를 돕고 이점을 얻고자 하는 위협 헌터 및 탐지 엔지니어들을 연결합니다. SOC Prime의 크라우드소싱 이니셔티브는 학구열이 있는 이들과 치열한 경험을 가진 전문가들에게 산업 동료들을 돕고 기여에 따른 보상을 받을 수 있는 훌륭한 기회를 제공합니다. 참여하세요, 위협 현상금 프로그램 에 참여하여 Sigma와 ATT&CK 기술을 지속적으로 연마하고 필드에 변화를 일으키며 반복적인 보상을 받으세요. 

블랙 바스타 랜섬웨어 공격에 대해 사전에 방어할 방법을 찾고 계십니까? 클릭하세요. 탐지 탐색 버튼을 클릭하여 블랙 바스타 랜섬웨어 운영자와 관련된 현재 및 신흥 위협에 대한 모든 Sigma 규칙에 즉시 액세스하십시오. MITRE ATT&CK 참조, CTI 링크, 관련 바이너리, 완화책 및 더 많은 사이버 위협 콘텍스트를 심층적으로 분석하십시오.

탐지 탐색

블랙 바스타 설명: FIN7-연계 랜섬웨어 공격

블랙 바스타의 행위자들은 반년 이상 사이버 위협 영역을 정복하고 있지만, 다른 랜섬웨어 유지 관리자들과의 관계가 사이버 방어자들에게는 여전히 의문으로 남아 있습니다. 이 그룹은 다양한 TTP를 실험하며 공격 능력을 빠르게 발전시켰습니다. 블랙 바스타는 알려진 취약점 세트를 악용하여 권한 상승 기술을 사용하며, PrintNightmare and ZeroLogon을 포함하며, 공격 도구 키트에는 여러 RAT가 존재하고, 수평 이동을 위한 적의 방법을 적용합니다. 

2022년 6월 초, 사이버 보안 연구자들은 그들의 협력의 흔적을 발견했습니다. QBot aka Qakbot과 함께 악명 높은 백도어를 수평 이동과 추가적인 배포를 위해 적용했습니다. Cobalt Strike 비콘을 손상된 기기에 배포합니다.

SentinelLabs 연구자들 은 최근 블랙 바스타 랜섬웨어 운영자들의 TTP를 분석하여 러시아 지원 해킹 집단으로 추적되는 FIN7 aka Carbanak 그룹으로 연결할 수 있는 새로운 적의 도구 및 기술을 발견했습니다. 이들은 그들의 악의적인 캠페인에서 사용한 악성코드 이름을 기반으로 하고 있습니다. 

FIN7 위협 행위자가 개발한 새로운 방어 무력화 도구를 활용함으로써 두 해킹 집단 간의 연결고리를 사이버 보안 연구원이 확립할 수 있게 되었습니다. 게다가, 블랙 바스타 랜섬웨어 작전의 최신 활동에서 사용된 일련의 맞춤형 도구와 악성 샘플, WindefCheck.exe 및 BIRDDOG 백도어 aka SocksBot이 FIN7 적대적 도구 키트에 속하는 것을 통해 적간의 추가적인 관계를 드러냅니다.

랜섬웨어 공격의 수가 빠르게 증가함에 따라, 적극적인 탐지는 조직의 사이버 보안 태세를 강화하는 데 핵심입니다. 현재 및 신흥 랜섬웨어 공격을 탐지하기 위해 650개 이상의 Sigma 규칙을 얻고 항상 적보다 한 발 앞서십시오.  접근하세요 30개 이상의 규칙을 무료로 또는 On Demand로 전체 탐지 스택을 가져가세요, http://my.socprime.com/pricing.