고스트 (Cring) 랜섬웨어 탐지: FBI, CISA 및 파트너들이 금융 이익을 위한 중국 지원 그룹의 공격 증가에 대해 경고
목차:
증가하는 랜섬웨어 볼륨 증가, 해커 집단 확장, 그리고 기록적인 피해 비용이 사이버 위험 분야를 재정의하고 있습니다. FBI, CISA와 파트너들은 최근 전 세계 사이버 방어 공동체에 금융 이득을 노린 Ghost (Cring) 랜섬웨어 공격 증가를 경고하는 공동 사이버 보안 경고를 발행했습니다. 중국에 연계된 해커들은 70개 이상의 국가에서 주요 인프라 부문을 포함한 여러 산업의 조직들을 침해했습니다.
Ghost (Cring) 랜섬웨어 공격 탐지
Sophos에 따르면, 랜섬웨어 복구 비용은 2024년에 2.73M 달러로 급등했으며 이는 2023년 대비 거의 1M 달러 증가한 수치입니다. 2031년까지 랜섬웨어 공격이 매 2초마다 발생할 것으로 예상되는 상황에서, 보안 전문가는 잠재적인 침입을 제때 발견할 수 있도록 신뢰할 만한 탐지 콘텐츠 출처 및 고급 사이버 방어 기술이 필요합니다.
SOC Prime 플랫폼 은 랜섬웨어 위협을 해결하는 광범위한 탐지 규칙을 제공하며, 최신 Ghost (Cring) 랜섬웨어 활동 증가를 포함합니다. 아래 탐지 탐색 버튼을 누르면 즉시 Sigma 규칙 모음으로 이동하여 CISA와 파트너들에 의해 설명된 공격을 탐지할 수 있습니다. AA25-050A 경고를 참고하십시오.
모든 규칙은 여러 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK 프레임워크 에 매핑되어 위협 조사 과정을 간소화합니다. 추가로, 규칙은 공격 타임라인, 단계적 권장 사항 등을 포함하여 광범위한 메타데이터로 풍부하게 구성되어 있습니다. CTI links, attack timelines, triage recommendations, and more.
Ghost (Cring) 랜섬웨어와 연결된 취약성 활용을 다루는 탐지 콘텐츠를 찾으려는 사이버 방어자들은 이 링크를 따라 관련 규칙 모음을 얻을 수 있습니다. 목록에는 CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2019-0604, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207의 탐지가 포함되어 있습니다.
또한, 보안 전문가들은 위협 탐지 마켓플레이스 를 통해 Ghost (Cring) 랜섬웨어 공격을 역으로 분석할 수 있으며 관련 탐지 콘텐츠를 확인할 수 있습니다.AA25-050A,Ghost Ransomware,Cring Ransomware,Crypt3r,Phantom Ransomware,Strike Ransomware,Hello Ransomware,Wickrme Ransomware,HsHarada Ransomware,Raptur Ransomware태그를 통해 확인합니다.
마지막으로 보안 전문가들은 Uncoder AI를 사용하여 CISA와 파트너들이 제공하는 AA25-050A 경고의 IOC를 즉시 찾아낼 수 있습니다. Uncoder AI는 IOC 패키저로써, 사이버 방어자들이 IOC를 해석하고 맞춤형 사냥 쿼리를 쉽게 생성할 수 있게 합니다. 이러한 쿼리는 선호하는 SIEM 또는 EDR 시스템에 매끄럽게 통합되어 즉시 실행됩니다. 이전에는 기업 고객에게만 제공되었던 Uncoder AI는 이제 개별 연구원에게도 강력한 기능을 전적으로 제공합니다. 더 알아보기.
Ghost (Cring) 랜섬웨어 분석
방어자들은 중국 지원 APT 그룹들의 공격 증가를 보고하며, 글로벌 조직들이 지속적인 사이버 스파이 활동과 금융 동기 부여된 위협에 대비하여 사이버 보안 인식을 높이기 위해 노력하고 있습니다. 2025년 2월 19일, FBI, CISA, MS-ISAC는 새로운 경고 AA25-050A 를 발행하여 70개국 이상의 조직들을 노리는 Ghost (Cring) 랜섬웨어 활동에 초점을 맞췄습니다, 중국 포함.
2021년 초부터 Ghost 행위자들은 인터넷에 노출된 서비스에서 구식 소프트웨어 및 펌웨어를 악용하여 무차별적으로 취약한 네트워크를 표적으로 삼고 있습니다. 중국에서 운영되며, 공격자들은 경제적 이득을 목표로 하여 헬스케어, 정부, 교육, 기술, 제조 조직 및 여러 산업 분야의 비즈니스에 영향을 미치고 있습니다.
Ghost (Cring) 랜섬웨어 그룹은 Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint, Microsoft Exchange 등 여러 CVE와 관련된 공공 노출 앱을 무기화하여 초기 접근을 확보합니다 ( ProxyShell 공격 체인). 내부로 들어가면 웹 셸을 업로드하고 명령 프롬프트 또는 파워셸을 사용하여 Cobalt Strike 비콘 악성코드를 다운로드하고 실행합니다.
공격자들은 지속성보다는 속도를 우선시하며, 종종 초기 침해 후 하루 내에 랜섬웨어를 배포합니다. 하지만 때로는 로컬 및 도메인 계정을 생성 또는 수정하고, 비밀번호를 변경하며, 희생자 서버에 웹 셸을 배포하기도 합니다. 권한 상승을 위해 Cobalt Strike를 사용하여 프로세스 토큰을 도용하고 비콘을 SYSTEM 권한으로 실행합니다. 또한 SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato 같은 오픈 소스 도구들을 활용하기도 합니다—이는 합법적 사용자들에 의해 사용될 가능성이 낮은 도구들입니다.
Ghost 랜섬웨어 운영자들은 Cobalt Strike의 “hashdump” 또는 Mimikatz 를 사용하여 무단 로그인을 위한 비밀번호, 권한 상승 및 횡적 움직임을 도용합니다. 방어 회피를 위해 그들은 안티바이러스 소프트웨어를 식별하고 비활성화하며, 종종 파워셸 명령어로 윈도우 방어자를 꺼버립니다. SharpShares, Ladon 911, SharpNBTScan과 같은 도구들을 사용하여 네트워크 및 원격 시스템 탐색을 수행합니다. 승격된 액세스를 사용함으로써 공격자들은 WMIC 및 base64 인코딩된 파워셸 명령어로 횡적 이동을 통해 Cobalt Strike 비콘을 메모리에 배치합니다. 횡적 이동에 실패하면 종종 공격을 완전히 포기합니다.
게다가 공격자들은 Cring.exe, Ghost.exe, ElysiumO.exe, Locker.exe 같은 랜섬웨어 실행 파일을 사용하며 이는 명령줄 인수에 따라 특정 디렉터리나 전체 시스템을 암호화할 수 있습니다. 이러한 페이로드는 또한 일부 파일 및 시스템 폴더를 제외하여 장치가 작동 불능 상태가 되지 않도록 합니다. 그들은 또한 윈도우 이벤트 로그를 삭제하고 볼륨 쉐도우 복사를 비활성화하며 복구 노력을 방해하기 위해 쉐도우 복사본을 삭제합니다.
그룹의 란섬 노트는 종종 몸값을 지불하지 않으면 도난 데이터를 판매하겠다고 위협합니다. 하지만 공격자들은 드물게 큰 양의 민감 정보를 유출합니다. 데이터 전송은 보통 수백 기가바이트 미만으로 적으며, Cobalt Strike 팀 서버, Mega.nz 및 웹 셸의 제한적인 사용을 통해 유출됩니다.
Ghost는 Cobalt Strike 비콘에 크게 의존하며, 등록된 도메인보다 IP 주소를 직접 사용하는 HTTP/HTTPS 연결을 사용합니다. 그들은 Tutanota, ProtonMail, Mailfence와 같은 암호화된 이메일 서비스를 통해 피해자들과 통신합니다.
방어자들은 Ghost (Cring) 랜섬웨어 활동에 대응하기 위해 주요 사이버 보안 관행을 따를 것을 권고합니다. 여기에는 정기적인 오프라인 백업 유지, 적기 보안 패치 적용, 횡적 이동을 제한하기 위한 네트워크 세분화가 포함됩니다. 조직들은 권한 계정에 대해 피싱에 저항할 수 있는 MFA 구현, 피싱을 인식할 수 있는 사용자 훈련, 무단 사용 방지를 위한 파워셸 모니터링도 권장합니다.
증가하는 Ghost (Cring) 랜섬웨어 공격 위험을 최소화하기 위해, SOC Prine 플랫폼 의 집단 사이버 방어는 보안 팀에 차세대 SOC 접근과 일치하는 회복탄력 있는 사이버 보안 전략을 채택하고 침입에 선제적으로 방어할 수 있는 최첨단 제품군을 제공하며, 기업 보안에 적합한 최첨단 자동화, 실시간 정보, 탐지 전략에 대한 심층적인 도구를 제공하여 여기에서 등록 하여 우리의 독점적인 다가오는 웨비나에 참여하십시오.