BlackByte 랜섬웨어 탐지: 위협 행위자들이 RTCore64.sys 드라이버의 CVE-2019-16098 취약점을 악용하여 EDR 보호 우회

BlackByte 랜섬웨어 합법적인 드라이버의 보안 결함을 악용하여 타협된 장치에서 EDR 제품을 비활성화하는 사이버 위협 무대에 다시 나타납니다. 사이버 보안 연구자들은 랜섬웨어 운영자들이 “자체 드라이버 가져오기”라고 불리는 고급 적대자 기술을 적용하여 보안 제품을 우회하고 취약한 기계에 감염을 퍼뜨릴 수 있게 한다고 밝혔습니다.

최신 적대자 캠페인에서 사용된 BlackByte 랜섬웨어 탐지

사이버 방어자들은 합법적인 드라이버를 악용하여 보안 솔루션을 우회하는 BlackByte 랜섬웨어 운영자들의 지속적인 공격이 계속될 가능성이 있다고 인정합니다. SOC Prime의 플랫폼은 업계 동료에게 적극적인 BlackByte 랜섬웨어 탐지를 지원하기 위해 전용 시그마 규칙 우리의 생산적인 Threat Bounty 개발자인 Nattatorn Chuensangarun에 의해 개발된.

탐지는 17개의 SIEM, EDR 및 XDR 솔루션과 호환 가능하며 MITRE ATT&CK® 프레임워크 의 실행 전술과 해당 사용자 실행 기법(T1204)을 다룹니다.

아래의 탐지 탐색 버튼을 클릭하여 BlackByte 랜섬웨어 탐지용 시그마 규칙에 즉시 접근하고 포괄적인 위협 인텔리전스로 잠수하십시오.

탐지 탐색

BlackByte 랜섬웨어 공격 분석: RTCore64.sys 드라이버를 대상으로 한 새로운 캠페인

BlackByte 랜섬웨어 2021년 7월부터 Ransomware-as-a-Service(RaaS) 모델을 적용하여 전 세계 조직을 대상으로 해왔습니다. 랜섬웨어 운영자들은 계속해서 멀웨어 변종을 진화시키고 그들의 적대자 툴킷을 확장해오고 있습니다. 원래 BlackByte 랜섬웨어 그룹은 C# 프로그래밍 언어로 멀웨어를 개발했고 나중에는 Go 기반 변종 을 적용하여 2022년 5월 스위스에 기반을 둔 물류 회사에 대한 사이버 공격에서 사용되었습니다. 해당 적대자 캠페인에서는 이미 보안 솔루션을 비활성화하고 탐지를 회피하도록 하는 기술이 적용되었습니다.

최근 연구에 따르면 Sophos 는 위협 행위자들이 RTCore64.sys 드라이버의 알려진 취약점을 악용하여 EDR 솔루션을 비활성화할 수 있는 “자체 드라이버 가져오기”라는 새로운 적대자 기술을 새로 밝혀냈습니다. CVE-2019-16098로 추적되는 이 보안 결함은 권한 상승, 코드 실행 및 정보 공개에 악용될 수 있습니다. 유사한 기술은 이전에 위협 행위자들이 AvosLocker 랜섬웨어 변종을 유포하기 위해 타협된 Avast 드라이버를 악용하고, Log4Shell을 검사하며, 안티바이러스 보호를 비활성화하는 데 사용되었습니다. 또한 2022년 8월, 적대자들은 이 기술을 활용하여 Genshin Impact 게임의 손상된 안티치트 드라이버인 mhyprot2.sys를 대상으로 삼아 안티바이러스 프로세스를 비활성화하고 랜섬웨어 샘플을 퍼뜨리려고 시도했습니다.

Blackbyte 랜섬웨어의 새로운 변종을 배포하는 회피 기술은 위협 행위자들이 EDR 제품들이 의존하는 합법적인 드라이버를 읽고 덮어쓸 수 있게 합니다. Sophos 보고서에 따르면, 이 적대자 기술은 최대 1,000개의 RTCore64.sys 드라이버를 비활성화할 수 있어 이 소프트웨어를 사용하는 글로벌 조직에 심각한 위협을 제기합니다.

BlackByte 랜섬웨어는 손상된 합법적인 장치를 악용하여 커널 메모리에서 EDR 솔루션이 활용하는 콜백 엔트리를 제거합니다. 그 결과, 공격자는 취약한 드라이버의 콜백 함수에 0을 덮어쓸 수 있습니다. 악용된 드라이버의 I/O 제어 코드는 사용자 모드 프로세스에서 직접 접근 가능해 공격자가 취약점을 악용하여 커널 메모리에서 읽기 또는 쓰기 작업을 실행할 수 있으며 셸코드나 익스플로잇을 사용하지 않고도 가능합니다.

BlackByte 랜섬웨어 공격에 선제적으로 방어하기 위해, 관련 시그마 규칙의 전체 컬렉션과 해당 SIEM 및 XDR 번역 과 심층 사이버 위협 컨텍스트를 즉시 확보하십시오. 탐지 콘텐츠로 집단 산업 전문 지식을 풍부하게 하기를 열망하는 진보적인 위협 연구자들은 Threat Bounty Program 에 참여하여 그들의 기여를 수익화할 수 있습니다. 라이브 전문 프로필을 구축하고, 시그마 및 ATT&CK 기술을 연마하며 글로벌 사이버 방어자 커뮤니티로부터 인정을 받을 수 있는 훌륭한 기회를 놓치지 마십시오.