BlueSky 랜섬웨어 탐지: Windows 호스트를 대상으로 멀티스레딩을 활용하여 빠른 암호화

BlueSky 랜섬웨어는 정교한 분석 방지 기능과 지속적으로 향상되는 회피 기술을 포함하여 빠르게 발전하는 악성코드 계열을 나타냅니다. BlueSky 랜섬웨어는 Windows 호스트를 대상으로 하며 파일 암호화를 더 빠르게 하기 위해 멀티스레딩 기술에 의존합니다. 사이버 보안 연구원들은 드러난 랜섬웨어 패턴을 악명 높은 Conti 랜섬웨어 그룹의적대적 활동에 기인한다고 합니다. 주목할 만한 점은, BlueSky 악성 샘플의 멀티스레드 코드 구조가 세 번째 버전의 Conti 갱 랜섬웨어와유사하다는 점입니다. 이 버전은 멀티스레딩 및 고급 회피 기술에 기반한 향상된 암호화 루틴을 적용합니다.

BlueSky 랜섬웨어 탐지

조직의 환경에서 BlueSky 랜섬웨어 샘플로부터 적시 보호를 보장하기 위해, SOC Prime의 플랫폼은 최근 우리의 유능한 Threat Bounty 콘텐츠 제공자 Kyaw Pyiyt Htet (Mik0yan)이 개발한 새로운 Sigma 규칙을 발표했습니다. 아래 링크를 따라 가시면 전용 Sigma 규칙 에 접근할 수 있으며, 종합적인 컨텍스트 메타데이터와 함께 SOC Prime의 사이버 위협 검색 엔진에서 직접 이용할 수 있습니다:

등록 키와 관련된 BlueSky Ransomware 지속성 활동 가능성 감지 (Registy_Event를 통해)

이 Sigma 기반 위협 사냥 쿼리는 BlueSky 랜섬웨어의 관련된 등록 키를 탐지합니다. 해당 탐지는 22개의 SIEM, EDR, XDR 솔루션으로 변환 가능하며 SOC Prime의 플랫폼에서 지원하고 MITRE ATT&CK® 프레임워크 와 정렬되어 있으며 지속성 및 방어 회피 전술과 부팅 또는 로그온 자동 실행 (T1547) 및 레지스트리 수정 (T1112) 기술을 다룹니다.

사용하기 SOC Prime의 Quick Hunt 모듈을통해, 사이버 보안 실무자들은 상기 언급된 쿼리를 SIEM 또는 EDR 환경에서 실행하여 BlueSky 랜섬웨어와 관련된 적의 활동을 즉시 검색할 수 있습니다.

협력적 사이버 방어에 기여하고자 하는 경험 많은 탐지 엔지니어이신가요? SOC Prime의 Threat Bounty Program에 참가하고, 자신의 Sigma 규칙을 제출하여 우리의 Detection as Code 플랫폼에 게시하고 지속적인 보상을 받으며 더 안전한 세상을 만드는데 기여하세요.

빠르게 진화하는 랜섬웨어 공격을 파악하기 위해, 보안 팀은 SOC Prime의 플랫폼에서 제공하는 관련 Sigma 규칙 전집을 활용할 수 있으며, 아래 Detect & Hunt 버튼을 클릭하여 사용할 수 있습니다. 등록되지 않은 SOC Prime 사용자도 우리의 사이버 위협 검색 엔진을 통해 랜섬웨어와 관련된 포괄적 컨텍스트 정보를 탐색할 수 있으며, 여기에는 MITRE ATT&CK 및 CTI 참조 및 관련 메타데이터가 포함됩니다. 아래 Explore Threat Context 버튼을 클릭하여 사용할 수 있습니다.

Detect & Hunt Explore Threat Context

BlueSky 랜섬웨어 분석

2022년 8월 초, 보안 전문가들은 전 세계적으로 조직에 점점 더 위협을 가하고 있는 새로운 랜섬웨어 계열을 발견했습니다. BlueSky라는 이름의 이 새로운 위협은 주로 Windows 호스트를 대상으로 하며 데이터를 더 빠르게 암호화하기 위해 멀티스레딩 기술을 활용합니다. 또한, 이 악성코드는 다양한 고급 회피 및 은폐 기술을 적용하여 탐지되지 않으며 높은 감염율을 보장합니다.

CloudSEK의 조사에 따르면공격 킬 체인은 PowerShell 드로퍼로 시작되어 BlueSky 페이로드를 다음에서 다운로드합니다: hxxps://kmsauto[.]us/someone/start.ps1. 2020년 9월에 등록된 이 가짜 도메인은 KMSAuto Net Activator라는 오래된 활성화 도구를 가장합니다. 높은 신뢰도로, 이는 러시아 출신의 위협 행위자에 의해 운영되고 있는 것으로 믿어집니다.

특히 최종 BlueSky 페이로드를 드롭하기 전에, PowerShell 드로퍼는 JuicyPotato 도구의 도움을 받거나 CVE-2020-0796 및 CVE-2021-1732 취약점을 이용하여 로컬 권한 상승을 수행합니다. 그런 다음 최종 랜섬웨어 페이로드는 javaw.exe 파일로 희생자의 호스트에 도달하여 합법적인 Windows 애플리케이션인 척합니다.

공격의 다음 단계에서 BlueSky는 사용자의 파일에 .bluesky 파일 확장자를 추가하며 암호화를 수행합니다. 랜섬웨어는 초고속 암호화 프로세스를 보장하기 위해 멀티스레딩 접근 방식을 사용합니다. 이 멀티스레드 아키텍처는 Conti v3와 유사하지만, BlueSky는 다른 암호화 알고리즘을 적용합니다. Unit42 연구 에 따르면, BlueSky 랜섬웨어는 파일 암호화에 ChaCha20을, 키에는 Curve25519를 사용하는데, 이는 Babuk 랜섬웨어 루틴과 유사합니다.

또한, BlueSky 랜섬웨어는 정교한 회피 기술을 활용합니다. 랜섬웨어 운영자는 악성 샘플을 인코딩하고 암호화하며, 다단계 페이로드 전송 및 로딩을 이용하고 API 해싱과 같은 은폐 기술을 채택합니다.

랜섬웨어 공격의 범위와 규모가 커짐에 따라, 보안 연구원들은 새로운 위협을 탐지하고 공격자보다 한 발 앞서기 위해 혁신적인 도구가 필요합니다. SOC Prime의 Detection as Code 플랫폼에 가입하여 전 세계에서 가장 큰 Sigma 규칙 컬렉션으로 최신 공격을 탐지하고 로그 소스 및 MITRE ATT&CK 커버리지를 향상시키며, 조직의 사이버 방어 능력을 증강시키는데 적극적으로 기여하세요. 경험 많은 위협 사냥꾼 및 탐지 엔지니어들은 Threat Bounty Program SOC Prime의 크라우드소싱 이니셔티브에 참여하여 그들의 탐지 알고리즘을 사이버 보안 커뮤니티와 공유하고 협력적 사이버 방어에 기여하며 자신들의 기여에 대한 반복적인 보상을 획득할 수 있습니다.