QakBot 악성코드 캠페인 감지 및 Black Basta 랜섬웨어 감염 예방

랜섬웨어는 전 세계 보안 수비수들에게 심각한 위협을 가하는 주요 위협입니다. 이는 공격 트렌드가 지속적으로 증가하고 있는 2021-2022년 동안의 상황입니다. 최근 보안 전문가들은 미국 기반 벤더를 점점 더 표적으로 하는 대규모 QakBot 악성코드 캠페인을 밝혀내어 Black Basta 랜섬웨어를 전달했습니다. 

2022년 11월의 마지막 10일 동안 최소 10개의 미국 기업이 일련의 공격에 희생되었습니다. 모든 경우에 QakBot(별칭 QBot 또는 Pinkslipbot)은 Black Basta 운영자가 표적 인프라에서 지속성을 유지하기 위해 악성 코드 변종을 활용하여 초기 진입점으로 작용했습니다. 

QakBot 악성코드를 사용하여 Black Basta 랜섬웨어 감염 탐지

상대적으로 새로운 Black Basta RaaS 링이 그들의 무기를 향상하고 새로운 맞춤형 도구와 기술로 강화하고 있는 것과 함께, 사이버보안 전문가들은 그러한 규모와 영향력을 가진 랜섬웨어 공격을 저지하기 위해 적시에 관련 방어 능력을 갖춰야 합니다. SOC Prime의 Detection as Code 플랫폼은 우리의 뛰어난 Threat Bounty 개발자들에 의해 집계된 Sigma 규칙 세트를 제공합니다. Osman Demir and Zaw Min Htun QakBot을 감염에 사용하는 Black Basta 랜섬웨어를 탐지하기 위해. 

가능한 Black-Basta 공격 [QakBot] (2022년 11월) 관련된 프로세스 탐지에 의한 측면 이동 활동 (via process_creation)

이 규칙은 rundll32.exe SetVolume 명령을 사용한 Cobalt Strike 페이로드 실행을 탐지합니다. 탐지는 20개의 SIEM, EDR & XDR 플랫폼에 대한 번역을 지원하고 MITRE ATT&CK® 프레임워크 의 방어 우회 전략을 다루며 관련 서명된 이진 프록시 실행(T1218) 기술과 일치합니다.

[미국 기업을 겨냥한] 관련 명령 탐지에 의한 의심스러운 공격적인 Qakbot 캠페인 실행 (via powershell)

위의 규칙은 System.DirectoryServices.DirectorySearcher 클래스를 사용하여 Active Directory 도메인 서비스에 대한 정보를 쿼리하기 위한 최신 QakBot 캠페인 과정에서 사용되는 PowerShell과 관련된 악성 행위를 탐지합니다. 탐지는 13개의 SIEM, EDR & XDR 플랫폼에 대한 번역을 지원하며 MITRE ATT&CK 프레임워크와 일치합니다. 이는 실행 전략과 관련된 PowerShell(T1086) 및 명령 및 스크립트 해석기(T1059) 기술을 다룹니다.

탐지 엔지니어링 및 위협 사냥 기술을 향상시키려는 역량 있는 사이버보안 실무자들은 우리의 위협 보상 프로그램에 참가하여 집단 산업 전문 지식에 기여할 수 있습니다. 프로그램에 참가함으로써 탐지 콘텐츠 작성자는 자신의 전문 기술을 수익화하면서 더 안전한 디지털 미래를 구축하는 데 기여할 수 있습니다. 

빠르게 진화하는 Black Basta 랜섬웨어 및 QakBot 악성코드 공격에 앞서기 위해 보안 팀은 아래 버튼을 클릭하여 SOC Prime 플랫폼에서 사용할 수 있는 관련 Sigma 규칙 전체 컬렉션을 활용할 수 있습니다.

QakBot 탐지 탐색 Black Basta 탐지 탐색

Black Basta 랜섬웨어 갱에 의한 QakBot 악성코드 캠페인 분석

최신 조사에 따르면 Cybereason이 QakBot 은 미국 기업에 대한 Black Basta 공격동안 초기 진입점 역할을 합니다. 공격은 일반적으로 악성 디스크 이미지 파일이 포함된 스팸 또는 피싱 이메일로 시작됩니다. 열리면 파일이 QakBot 실행을 트리거하고 원격 서버에서 Cobalt Strike 페이로드가 회수됩니다. 

다음 단계에서 악성코드는 인증 정보 수집 및 횡적 이동 활동을 수행하여 수집된 로그인 데이터를 사용하여 가능한 많은 엔드포인트를 연결하는 것을 목표로 합니다. 마지막으로 Black Basta 랜섬웨어 페이로드가 표적 네트워크에 떨어집니다. 

특히, 관찰된 여러 공격에서는 캠페인 운영자가 피해자를 네트워크에서 차단하고 복구 과정을 거의 불가능하게 만들기 위해 DNS 서비스를 비활성화했습니다. 

이번이 처음이 아닙니다 Black Basta 운영자가 QakBot에 의존하여 악의적인 행동을 지속하는 것은. 2022년 10월, 랜섬웨어 갱은 QakBot을 통해 Brute Ratel C4 프레임워크를 활용하여 Cobalt Strike를 떨어뜨리는 것이 관찰되었습니다. 최신 일련의 사이버 공격은 공격 프레임워크 설치 및 다양한 위협 행위자에게 접근권을 판매하기 위해 QakBot의 운영이 개편되어 있음을 보여줍니다. 

빠르게 증가하는 랜섬웨어 공격의 수에 따라, 조직의 사이버 보안 자세를 강화하기 위해 프로액티브한 탐지력이 핵심입니다. 현재 및 새로운 랜섬웨어 공격을 식별하기 위해 650개 이상의 Sigma 규칙을 얻고 항상 상대보다 한 발 앞서십시오.  30개 이상의 규칙을 무료로 얻기 거나 필요한 탐지 스택을 On Demand에서 얻을 수 있습니다 http://my.socprime.com/pricing.