Cactus Ransomware Detection: Attackers Launch Targeted Attacks to Spread Ransomware Strains

주의하세요! 최근의 Cactus 랜섬웨어 공격이 주목을 받고 있습니다. 해커들은 Qlik Sense의 취약점을 악용하여 Cactus 랜섬웨어를 배포하고 있습니다. 다른 랜섬웨어 캠페인에서는 악성 광고를 유인책으로 사용하여 DanaBot 멀웨어를 손상된 시스템에 초기 접근 방식으로 활용합니다.

Cactus 랜섬웨어 감염 탐지

랜섬웨어 운영자들은 페이로드 배포를 진행하고, 피해자 수를 늘리며, 더 큰 금전적 이익을 얻기 위해 끊임없이 새로운 방법을 찾고 있습니다. 위협에 앞서기 위해, 사이버 보안 전문가들은 개발 초기 단계에서 가능한 침입을 식별하고 선제적으로 방어할 수 있는 신뢰성 있는 탐지 콘텐츠가 필요합니다.

Cactus 랜섬웨어 공격 탐지에서 사이버 방어자를 지원하기 위해, SOC Prime Platform은 집단 사이버 방어를 위한 정리된 탐지 콘텐츠를 집계합니다.

msiexec를 사용하여 Sophos를 GUID를 통해 제거함으로써 발생할 수 있는 Cactus 랜섬웨어 캠페인 (프로세스 생성 기반)

우리의 예리한 Threat Bounty 개발자 Nattatorn Chuensangarun 이 작성한 이 규칙은 GUID를 통해 Sophos를 제거하기 위해 msiexec 명령을 사용하여 발생하는 의심스러운 Cactus 랜섬웨어 캠페인 활동을 탐지합니다. 이 탐지는 24개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK 프레임워크 를 기반으로 방어회피 전술 및 시스템 바이너리 프록시 실행(T1218)을 주요 기법으로 다룹니다.

Qlink 스케줄러에서 의심스러운 프로세스 생성 (프로세스 생성 기반)

SOC Prime 팀이 개발한 이 탐지 규칙은 Qlink 스케줄러 프로세스 생성의 의심스러운 활동을 식별하며, 이는 취약점 공격 성공을 나타낼 수 있습니다. 이 규칙은 24개의 기본 SIEM, EDR, XDR 및 데이터 레이크 형식으로 번역되어 있으며, MITRE ATT&CK 초기 접근 전술과 공개된 애플리케이션 취약점 공격(T1190)을 주요 기법으로 다루고 있습니다.

Cactus 랜섬웨어 공격 탐지를 위한 규칙 스택을 더 깊이 살펴보려면, 탐지 탐색 를 확인하세요. 모든 알고리즘은 광범위한 메타데이터로 풍부하게 보강되어 있으며, ATT&CK 참조, CTI 링크, 공격 타임라인, 심사 추천 및 원활한 위협 조사를 위한 기타 관련 세부 정보가 포함되어 있습니다.

탐지 탐색

추가적으로, 보안 전문가들은 DanaBot 탐지를 위한 탐지 규칙 세트를 탐색하여 악성 광고를 활용한 Cactus 랜섬웨어 운영과 관련된 위협 사냥 활동을 강화할 수 있습니다.

Cactus 랜섬웨어 분석: Qlik Sense 취약점 및 DanaBot을 진입점으로 사용하는 최신 공격

Arctic Wolf Labs 팀은 최근에 새로운 Cactus 랜섬웨어 캠페인을 Qlik Sense 플랫폼의 공개된 설치를 대상으로 탐지했습니다. 랜섬웨어 운영자들은 주로 세 가지 중요한 Qlik Sense의 취약점을 초기 접근 벡터로 사용하여 감염을 확산시킵니다. Qlik Sense Enterprise for Windows에서 CVE-2023-41266 및 CVE-2023-41265로 추적되는 두 가지 보안 버그는 연결되어 표적화된 공격을 수행할 수 있습니다. 성공적인 익스플로잇 체인은 Qlik Sense 소프트웨어가 실행 중인 서버를 손상시키고, 비인가 RCE 가능성을 포함합니다. 이 위협을 해결하기 위해 Qlik 커뮤니티는 보안 권고문을 발표했습니다. 취약점 세부 사항 및 완화 권장사항을 포함하여.

위의 언급된 보안 결함에 대한 패치 발표 이후, Qlik은 CVE-2023-41265에 대한 수정이 충분하지 않다고 밝혔으며, 이는 CVE-2023-48365로 식별된 또 다른 중요한 취약점의 유출로 이어졌습니다. 이 결함은 HTTP 헤더의 부적절한 검증으로 인해 발생하며, 원격 공격자가 HTTP 요청을 터널링하여 리포지토리 애플리케이션을 호스팅하는 백엔드 서버에서 실행할 수 있게 하여 권한을 상승시킬 수 있습니다. Qlik 커뮤니티는 문제를 다룬 별도의 보안 권고문 을 발표했습니다. Qlik Sense 고객은 잠재적으로 손상된 장치를 즉시 보안 업데이트된 소프트웨어 버전으로 업그레이드할 것을 강력히 권장합니다.

이러한 Cactus 랜섬웨어 공격에서 해커들은 위에서 언급된 보안 결함을 무기로 코드를 실행하여 Qlik Sense 스케줄러 서비스에 의해 새로운 프로세스를 시작합니다. 공격자들은 PowerShell과 BITS(백그라운드 인텔리전트 전송 서비스)를 사용하여 지속성을 확보하고 원격 접근의 툴킷을 다운로드합니다. 악의적 행위자들은 또한 Sophos 소프트웨어의 설치를 제거하고, 관리자 계정 자격 증명을 변경하며, Plink를 통해 RDP 터널을 설정합니다.

Qlik Sense 결함을 악용한 공격 직후, Microsoft는 랜섬웨어 운영자 Storm-0216 (UNC2198으로도 알려짐)의 키보드 직접 조작 활동을 초래하는 DanaBot 감염을 탐지했으며, 이는 Cactus 랜섬웨어 배포로 이어졌습니다. 이 지속적인 공격 작전에서, DanaBot 멀웨어를 악성 광고 유인책을 통해 배포됩니다.

Storm-1044로도 추적되는 DanaBot은 Emotet, TrickBot, QakBot와 IcedID 처럼 정보 탈취 및 추가 악성 프로그램의 잠재적 진입점 역할을 할 수 있는 능력을 갖추고 있습니다.

2023년 11월부터 주목받고 있는 현재의 DanaBot 캠페인은 멀웨어-서비스(malware-as-a-service) 모델을 활용하기 보다는 정보 탈취 멀웨어의 맞춤형 버전을 사용하는 것으로 보입니다. 탈취된 자격 증명은 원격 서버로 전송되며 RDP 로그인 시도 및 추가로 랜섬웨어 운영자에게 접근을 제공합니다.

Cactus 랜섬웨어 공격의 현재 급증은 사이버 방어 능력 향상의 필요성을 자극하고, 기업들이 사이버 보안 태세를 강화하고 네트워크 침해를 방지할 수 있도록 힘을 실어줍니다. 조직들은 위협 탐지 마켓플레이스를 통해 모든 규모와 정교함의 랜섬웨어 공격에 대한 최신 탐지 알고리즘을 탐색하고, 빠른 공격 속성 파악을 위한 관련 TTP를 탐색할 수 있습니다.