BlackCat aka ALPHV 공격 탐지: 해커들이 악성 광고를 악용하여 악성코드를 퍼뜨리고 SpyBoy Terminator를 활용하여 보안 보호를 저해하다

사이버 보안 연구자들은 악명 높은 BlackCat aka ALPHV 랜섬웨어 갱단에 의해 속하는 새로운 악성 활동의 흔적을 발견했습니다. 공격자 캠페인은 합법적인 회사의 복제된 웹 페이지를 통해 악성 소프트웨어를 배포하는 것을 포함하며, 여기에는 인기 있는 WinSCP 파일 전송 서비스의 웹 페이지도 포함됩니다. BlackCat은 또한 SpyBoy Terminator를 악성 소프트웨어 방어를 방해하기 위한 공격 목적으로 사용하는 것도 관찰되었습니다.

복제된 웹 페이지를 통해 악성 소프트웨어를 확산하는 BlackCat의 활동 탐지

BlackCat 랜섬웨어 운영자들이 지속적으로 도구 세트에 새로운 악의적인 기능을 추가하고 효과적인 공격 방법을 모색함에 따라, 사이버 수비자들은 신뢰할 수 있는 탐지 알고리즘과 위협 인텔 소스를 필요로 하며, 이를 통해 가능한 침입을 사전에 방어할 수 있습니다. 최신 BlackCat (ALPHV) 캠페인과 관련된 악성 활동을 탐지하려면 SOC Prime Platform에서 사용할 수 있는 특정 Sigma 규칙 세트를 다운로드하세요. 

모든 탐지 알고리즘은 28개의 SIEM, EDR, XDR 기술과 호환되며 MITRE ATT&CK 프레임워크 v12와 일치하여 위협 헌팅 절차를 간소화합니다. 

탐색 탐지 버튼을 클릭하여 BlackCat 랜섬웨어 공격 탐지를 목표로 하는 엄선된 Sigma 규칙 배치를 살펴보세요. 모든 규칙은 ATT&CK 및 CTI 참조를 포함한 풍부한 메타데이터로 제공됩니다. 콘텐츠 검색 중 보안을 위해 SOC Prime은 “ button to explore a batch of curated Sigma rules aimed at BlackCat ransomware attack detection. All the rules are coming in rich metadata, including ATT&CK and CTI references. To help security practitioners during the content search, SOC Prime supports filtering by tags “BlackCat” 태그를 통한 필터링을 지원합니다. “ALPHV” 태그를 통한 필터링을 지원합니다. “SpyBoy”는 캠페인 과정 중 사용된 악성 소프트웨어 샘플 제목을 기반으로 합니다.

버튼을 클릭하여 BlackCat 랜섬웨어 공격 탐지를 목표로 하는 엄선된 Sigma 규칙 배치를 살펴보세요. 모든 규칙은 ATT&CK 및 CTI 참조를 포함한 풍부한 메타데이터로 제공됩니다. 콘텐츠 검색 중 보안을 위해 SOC Prime은 “

BlackCat이 진입 벡터로서의 악성 광고 사용: 새로운 공격 분석

악명 높은 ALPHV BlackCat 랜섬웨어 제휴사 는 전 세계적으로 다양한 산업 부문을 타깃으로 하는 사이버 위협 영역에서 2021년 11월 중반부터 많은 주목을 받았으며 여러 TTP와 공격 도구를 실험하고 있습니다. 

Trend Micro 연구원들은 BlackCat 갱단의 최근 활동을 강조하는 보고서를 발표했습니다. 최신 캠페인에서 악성 소프트웨어 배포자들은 오픈 소스 Windows 응용 프로그램 WinSCP의 복제 웹 페이지를 통해 악성 변종을 전파하기 위해 악성 광고 기법을 활용합니다. 이 해킹 기법은 특정 유형의 악성 소프트웨어를 다운로드하도록 유도하기 위한 악성 광고를 배포하는 것을 포함합니다. 

BlackCat 해커는 네트워크에 대한 무단 접근을 수행하기 위해 자격 증명을 탈취하고 백업 서버에 접근한 것이 관찰되었습니다. 그들은 또한 원격 접근 관리 유틸리티를 활용하여 손상된 시스템에 지속성을 수립하고 유지하며, SpyBot Terminator를 적용하여 EDR 및 안티바이러스 보호를 우회하였습니다. 

감염 체인은 Bing 검색 엔진을 통해 키워드 “WinSCP 다운로드”를 검색하여 악성 광고가 타깃 사용자에게 표시됨으로써 시작됩니다. 링크를 따라가면 사용자는 합법적인 WinSCP 서비스의 복제 웹페이지로 리디렉션됩니다. 애플리케이션 설치 프로그램으로 가장한 ISO 파일을 다운로드 클릭 시, 이는 두 개의 악성 파일을 통해 감염을 더욱 확산시킵니다. setup.exe 및 지연 로드 DLL 파일.

BlackCat은 AdFind와 같은 다른 공격자 도구 세트를 적용하여 손상된 환경을 탐사하였으며, 이는 Active Directory (AD) 환경에서 정보를 수집하거나 권한 상승 및 자격 증명 탈취에 사용할 수 있습니다. 갱단은 PowerShell 명령을 활용하여 사용자 데이터를 수집하고 CSV 파일에 저장하였습니다. 다른 도구들 중에서는 AccessChk64 및 findstr 같은 명령줄 유틸리티 세트와 PowerShell 스크립트를 활용했습니다. 관리자 자격 증명 및 권한 상승을 얻기 위해, BlackCat은 악성 Python 스크립트를 적용하였으며, PsExec, BitsAdmin 및 curl 같은 도구를 활용하여 다른 도구를 다운로드하고 손상된 환경 내에서 횡적으로 이동했습니다. 

잘 알려진 악성 광고 기법을 활용하여, BlackCat 랜섬웨어 운영자들은 WinSCP 설치 프로그램으로 위장한 수상한 웹사이트를 통해 성공적으로 감염을 확산시켰습니다. 신뢰할 수 있는 탐지 콘텐츠를 완비하기 위해 SOC Prime Platform 에 의존하여 진행 중인 사이버 공격에 사용되는 모든 TTP에 대한 탐지 콘텐츠를 완벽히 준비하십시오. 최신 배포 준비가 된 행동 탐지 알고리즘에 도달하고 사이버 공격 또는 위협에 대한 관련 컨텍스트를 탐색하세요. 여기에는 제로 데이, CTI 및 ATT&CK 참조, 레드 팀 도구화가 포함됩니다. 자동 읽기 전용 ATT&CK 데이터 감사에 의해 지원되는 탐지 스택을 검증하고, 맹점을 식별하여 이를 적시에 해결하여 조직별 로그에 기반하여 완전한 위협 가시성을 확보하십시오. Sigma 및 ATT&CK 자동 완성으로 즉석 작업을 간소화하고, 크로스 플랫폼 쿼리 번역을 자동화하며, ChatGPT 및 글로벌 사이버 수비 커뮤니티에서 관련 사이버 위협 컨텍스트를 탐색하여 SOC 운영 시간을 단축하십시오.