쿠바 랜섬웨어 탐지: 트로피컬 스코르피우스 위협 행위자들이 표적 공격에서 새로운 RAT 멀웨어 배포
목차:
고위 프로필 랜섬웨어 공격 증가하는 경향을 나타냅니다 2021-2022년 사이버 위협 분야에서, 대부분의 랜섬웨어 협력자들이 다양한 랜섬웨어-서비스(RaaS) 프로그램에 참여하고 있습니다. 2022년 5월, 사이버 보안 연구자들은 Tropical Scorpius로 추적되는 해킹 그룹의 악의적인 활동에 기인한 Cuba 랜섬웨어를 배포하는 새로운 적대 캠페인을 발견했습니다. 이 최신 공격에서는 위협 행위자가 새로운 TTP를 적용하고 새로운 악성 도구와 로컬 권한 상승 도구인 KerberCache로 알려진 Kerberos 도구를 사용하여 적대자 도구 상자를 강화하고 새로운 악성 코드인 ROMCOM RAT를 사용합니다.
Cuba 랜섬웨어 감지
랜섬웨어 환경이 더 정교한 TTP로 풍부해짐에 따라, 사이버 보안 전문가들은 증가하는 위협에 맞서기 위해 공격자보다 한 발 앞서 나가려고 노력하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 새롭게 출시된 Sigma 규칙 을(를) 큐레이션하여, Tropical Scorpius 해커들이 출시한 적극적으로 진화하는 Cuba 랜섬웨어 공격에 대해 사이버 수비수가 사전 방어할 수 있도록 돕습니다. 모든 탐지는 업계 선도적인 SIEM, EDR, 및 XDR 솔루션 전반에서 사용할 수 있으며, MITRE ATT&CK® 프레임워크.
와(과) 일치합니다. 아래 링크를 따라 SOC Prime의 Cyber Threats 검색 엔진에서 전용 Sigma 규칙에 즉시 액세스하고 관련 문맥 정보를 탐색하십시오. 이러한 탐지 알고리즘은 Nattatorn Chuensangarun, Onur Atali, 및 Aung Kyaw Min Naing (N0lan)을 포함한 우리의 다작하는 Threat Bounty Program 개발자들이 제작했습니다. SOC Prime의 Threat Bounty Program에 가입함으로써 Detection Engineers 및 Threat Hunters는 고품질 탐지 콘텐츠를 저작하여 업계 전문가들로부터 인정을 받고 자신의 전문 기술을 수익화할 수 있는 기회를 얻게 됩니다.
커널 드라이버를 파일 시스템으로 구성하여 Cuba 랜섬웨어 방어 회피 가능성 (process_creation 통해)
Nattatorn Chuensangarun이 개발한 이 정제된 사냥 쿼리는 ApcHelper.sys로 명명된 파일 시스템에 커널 드라이버를 기록하는 로더를 활용한 의심스러운 Cuba 랜섬웨어 활동을 감지합니다. 이 탐지는 Execution 및 Impact ATT㨐CK 전술과 이에 상응하는 Command and Scripting Interpreter (T1059) 및 Service Stop (T1489) 기술을 다룹니다.
관련 명령 탐지를 통해 Cuba 랜섬웨어 실행 가능성 (process_creation 통해)
Onur Atali가 제작한 이 위협 사냥 쿼리는 관련 명령 탐지를 통해 Cuba 랜섬웨어 실행을 식별하며, 악성 DLL 파일을 검색하여 악성 코드가 C2 서버로 파일을 전송할 때 사용됩니다. Sigma 규칙은 다음과 같은 적대 전술을 다룹니다:
- 실행 — 포함된 ATT아C기술은 Command and Scripting Interpreter (T1059) 및 User Execution (T1204)입니다
- 영향 — Data Encrypted for Impact (T1486) 및 Disk Wipe (T1561)이 주된 기술로 사용됩니다
cuba-ransomware-tropical-scorpius의 탐지 가능성
이 위협 사냥 Sigma 기반 규칙은 원격 액세스 트로이 전 C2 서비스 실행 경로의 사용을 포함한 Tropical Scorpius 그룹의 적대적 활동을 탐지합니다. 위의 탐지는 적합한 Create or Modify System Process (T1543) 및 System Services (T1569) 기술과 함께 지속성 및 실행 전술을 다룹니다.
현재 및 신흥 Cuba 랜섬웨어 공격에 대응하려면 탐지 및 사냥 버튼을 클릭하고 전용 Sigma 규칙의 전체 컬렉션에 도달하십시오. 비등록된 SOC Prime 사용자는 또한 위협 문맥 탐색 버튼을 눌러 MITRE ATT아C 및 CTI 참조와 기타 관련 메타데이터가 포함된 Cuba 랜섬웨어 탐지를 위한 문맥이 풍부한 탐지 알고리즘 목록에 액세스하십시오.
Cuba 랜섬웨어 설명
최신 Unit 42 위협 인텔리전스 팀의 연구에 따르면, Cuba 랜섬웨어 패밀리는 2019년 말에 등장했습니다. Cuba 랜섬웨어(일명 COLDDRAW)는 처음에는 악성 첨부 파일을 통해 피해 시스템에 자주 삽입되는 Hancitor 악성 코드를 통해 확산되었습니다. Tropical Scorpius로 moniker되는 Cuba 랜섬웨어 유지 관리자, 또한 UNC2596로 식별된 자들은 Microsoft Exchange Server의 취약점을 악용하여 ProxyShell 및 ProxyLogon을 포함한 악성 행위를 추적했습니다. 2021년에 Cuba 랜섬웨어 유지 관리자들은 다시 등장하여 SystemBC 백도어와 다른 악명 높은 RaaS 집단들을 포함한 악성 캠페인을 배포했습니다, 예를 들어 DarkSide와 Ryuk. ProxyShell and ProxyLogon. In 2021, Cuba ransomware maintainers resurfaced, deploying SystemBC backdoor in their malicious campaigns, along with other notorious RaaS collectives, including DarkSide and Ryuk.
2019년까지 추적 가능한 그룹의 악성 캠페인 과정에서, Tropical Scorpius 해커들은 2022년에 더 심각한 위협으로 변형되기 위해 그들의 TTP를 발전시켜 왔습니다. 사이버 보안 연구자들 은(는) 상기 참조된 위협 행위자들이 보안 제품을 대상으로 한 커널 드라이버 로더를 사용하는 것을 포함하여 정교한 분석 방지 도구 및 기술을 악용한다는 것을 밝혀냈습니다. 또한 최신 Cuba 랜섬웨어 공격은 PowerShell 코드를 통해 원격 서버에서 다운로드된 로컬 권한 상승 도구를 사용하는 것을 포함하며, 이를 통해 시스템 토큰을 탈취하는 것을 목표로 합니다. 이를 위해 공격자들은 CVE-2022-24521.
로 추적되는 Windows Common Log File System (CLFS) 로직의 취약점을 악용합니다. Cuba 랜섬웨어의 개발자들은 감지 회피를 위해 짧은 이름으로 떨어뜨리면서 시스템 정찰 활동을 위한 여러 도구를 사용합니다. Mimikatz와 같은 자격 덤프를 위한 인기 해킹 도구를 사용하는 것 외에도, Tropical Scorpius 위협 행위자들은 KerberCache로 추적되는 새로운 사용자 정의 Kerberos 도구를 적용하고, 악명 높은 ZeroLogon 유틸리티를 악용하여 CVE-2020-1472 보안 결함을 해결하고 도메인 관리자 권한을 획득합니다.
최신 Cuba 랜섬웨어 작전을 설명하는 적대 도구 상자는 고유한 C2 프로토콜을 포함한 사용자 정의 원격 액세스 트로이 목마(RAT) 인 ROMCOM RAT로도 풍부해졌습니다.
2022년 내내 더 발전된 Cuba 랜섬웨어 공격의 증가 경향은 공격자보다 앞서기 위해 사전 탐지 전략을 구현할 필요성을 강조합니다. SOC Prime의 Detection as Code 플랫폼에 가입함으로써 사이버 수비수들은 위협 탐지 능력을 강화하고 위협 사냥 속도를 더 빠르고 효율적으로 가속화할 수 있습니다. 사이버 보안 애호가들은 또한 Threat Bounty Program 에 참여하여 Sigma 및 YARA 규칙을 저작하고 산업 동료와 공유하여 자신들의 탐지 엔지니어링 기술을 연마하고 기여에 대한 경제적 혜택을 얻을 수 있습니다.
