원신 랜섬웨어 감염: 적들이 안티 치트 드라이버를 악용하다

인기 있는 오픈 월드 액션 RPG인 원신 임팩트가 랜섬웨어 확산에 이용되고 있습니다. 위협 행위자들은 취약한 안티치트 드라이버인 mhyprot2.sys를 악용해 안티바이러스 프로세스와 서비스를 종료하고 랜섬웨어를 삽입합니다. 합법적인 드라이버를 루트킷으로 사용하여, 적들은 대상 컴퓨터에 먼저 랜섬웨어를 삽입하고 이후 다른 워크스테이션으로 감염을 확산하려고 합니다.

랜섬웨어 익스플로잇 탐지

취약한 원신 임팩트의 mhyprot2.sys 드라이버 악용과 관련된 행위를 식별하기 위해, 숙련된 Threat Bounty 기여자들이 발표한 다음의 위협 탐지 콘텐츠를 활용하십시오. Kaan Yeniyol and Aykut Gürses:

랜섬웨어 활동에서 원신 임팩트 안티치트 드라이버 감지

The Sigma 기반 규칙 은(는) MITRE ATT&CK® 프레임워크 v.10에 참조되어 있으며, SOC Prime 플랫폼에서 지원되는 26개의 SIEM, EDR 및 XDR 솔루션 전반에 걸쳐 적용할 수 있습니다.

위협 탐지 마켓플레이스에는 탐지, 경보, 사냥 쿼리 및 플레이북을 포함하여 130,000개 이상의 검증된 탐지 콘텐츠들이 호스팅됩니다. 매달 약 140개의 새로운 탐지가 추가됩니다. 가능한 랜섬웨어 익스플로잇을 식별하기 위해 고품질의 전용 탐지 콘텐츠에 도달하려면 탐지 및 사냥 버튼을 클릭하십시오. 통찰력 있는 문맥 정보를 얻으려면 위협 문맥 탐색 버튼을 클릭하고 종합적인 메타데이터가 함께 제공되는 관련 Sigma 규칙 목록으로 드릴다운하십시오—등록이 필요하지 않습니다.

탐지 및 사냥 위협 문맥 탐색

사건 분석

Trend Micro의 연구자로부터의 발표는 랜섬웨어 행위자에 의한 역할 수행 게임 원신 임팩트의 최근 악용 사례를 상세히 설명합니다. 연구 데이터에 따르면, 위협 행위자들은 게임의 안티치트 기능을 담당하는 취약한 코드 서명 드라이버를 활용합니다. 게임의 안티치트 시스템 내 드라이버인 mhyprot2.sys를 악용하여, 랜섬웨어 행위자들은 시스템 권한을 우회하고 커널 모드에서 명령을 실행하여 엔드포인트 보호 프로세스를 종료할 수 있습니다. Trend Micro’s researchers details a recent abuse of the role-playing game Genshin Impact by ransomware actors. According to the research data, threat actors leverage a vulnerable code-signed driver responsible for anti-cheat functions for the game. By abusing mhyprot2.sys, a driver within the game’s anti-cheat system, ransomware actors can circumvent the system privileges and terminate the endpoint protection processes by executing commands from kernel mode.

이 취약성이 약 2년 동안 존재해왔으며 아직도 수정되지 않았다는 것이 밝혀졌습니다.

7월에 몇 가지 유의미한 개선 사항 을 SOC Prime의 Threat Bounty 프로그램에 도입했습니다. 사이버 세계의 가장 생산적인 탐지 콘텐츠 개발자 프로그램에 대해 더 알아보고 SOC Prime과 함께 업계 리더들 사이에서 자리 잡으십시오.