귀신 탐지: 위협 행위자들이 한국 기업을 대상으로 귀신 랜섬웨어를 유포

여러 산업의 한국 기업을 표적으로 삼는 Gwisin 랜섬웨어가 사이버 위협 분야에서 증가하고 있습니다. 한국어를 사용하는 위협 행위자에게 기인하는 Gwisin 랜섬웨어는 무작위 개인보다는 특정 조직을 겨냥한 공격에서 사용되며 자체적으로 악의적인 행동을 수행하지 않기 때문에 탐지가 더 어렵습니다. 이 랜섬웨어는 MSI 설치 파일 형식으로 전파되며, 감염을 확산시키기 위해 각 조직에 따라 다양한 방법을 적용합니다. 

Gwisin 랜섬웨어 탐지 

사이버 보안 커뮤니티는 점점 증가하는 고위험 랜섬웨어 공격의 도전에 계속 직면하고 있으며, 이는 단지 발생량과 벡터뿐만 아니라 그 영향과 속도 측면에서도 가속화되고 있습니다. Gwisin 랜섬웨어와 관련된 악의적인 활동을 사전에 탐지할 수 있도록 보안 실무자들을 돕기 위해, 우리의 예리한 Threat Bounty 개발자 Onur Atali 는 전용 Sigma 규칙을 발표했습니다.

관련 명령어(cmdline)를 통한 Gwisin 랜섬웨어 실행 가능성 탐지

이 규칙은 23개의 SIEM, EDR 및 XDR 형식에 대한 번역을 지원하며 MITRE ATT&CK 프레임워크 v.10과 일치합니다. 이는 명령어 및 스크립팅 인터프리터(T1059), 사용자 실행(T1204), 영향을 위한 데이터 암호화(T1486), 및 디스크 지우기(T1561)를 주요 기술로 하는 실행 및 영향 전술을 다루고 있습니다.

협업을 통한 사이버 방어와 사이버 보안 커뮤니티를 돕고 싶으신가요? 가입하세요. SOC Prime의 Threat Bounty 프로그램, 자체 Sigma 규칙을 제출하고 재정적 보상을 받으면서 사이버의 안전한 미래에 기여하세요! 증가하는 랜섬웨어 위협을 고려하여, Threat Hunter 및 SOC 분석가들은 증가하는 보안 사건에 신속히 대응하고, 잡음을 줄이고, 공격 표면을 더 나은 방식으로 식별할 수 있는 혁신적인 위협 탐지 접근 방법이 필요합니다. 등록된 SOC Prime 플랫폼 사용자들은 다양한 랜섬웨어 위협을 탐색하기 위해 가장 큰 탐지 알고리즘 풀에 접근할 수 있습니다. Detect & Hunt 버튼을 누르십시오. 비등록 사용자는 MITRE ATT&CK 참고자료와 CTI 링크를 포함한 랜섬웨어 관련 규칙 키트 및 모든 관련 메타데이터에 접근할 수 있습니다. Explore Threat Context 버튼을 눌러주세요.

Detect & Hunt Explore Threat Context

Gwisin 랜섬웨어 분석

에 따르면 SOC Prime의 Detection as Code 혁신 보고서 2021, 랜섬웨어 공격은 침입의 정교함과 랜섬웨어 운영자의 수가 끊임없이 증가하면서 2021-2022년에 증가하는 추세를 계속하고 있습니다. 한국 기업을 공격하는 Gwisin 랜섬웨어는 높은 수준의 한국어 능력을 가진 동일 이름의 악성코드 운영자들의 적대자 활동에 기인하고 있습니다. Gwisin의 가장 흔한 특성 중 하나는 Windows 시스템 프로세스에 주입되어 악의적인 행동을 수행할 수 있는 능력, 몸값 요구서에 표시되는 내부 DLL 파일 내에 손상된 회사 정보를 포함할 수 있는 랜섬웨어 기능, 안전 모드에서 파일을 암호화하는 정교한 기능 지원을 포함합니다. 

한국어로 ‘귀신’을 의미하는 Gwisin이라는 악성코드를 퍼뜨리는 위협 행위자는 Windows 및 Linux ESXi 서버를 암호화할 수 있는 GwisinLocker라는 신종 랜섬웨어 제품군을 한국의 주요 의료, 산업 및 제약 회사들을 표적으로 삼아 전파하는 것으로도 알려져 있습니다. 이러한 공격에서 랜섬웨어는 MSI 설치 파일 형식을 적용하며, MSI에 포함된 DLL 파일을 실행하기 위해 인수 값을 사용합니다. 명령행 인수의 사용은 사이버 수비수들이 랜섬웨어 샘플을 탐지하고 분석하기 어렵게 만듭니다. 

Windows 시스템에서의 랜섬웨어 공격 외에도, ReversingLabs 연구원 은 Linux 기반 시스템을 대상으로 한 GwisinLocker 악성코드 버전을 발표했습니다. 수행된 연구에 따르면 Gwisin 랜섬웨어 운영자는 Linux 호스트를 제어하고 VMWare ESXI 가상 머신과 상호작용하며 조직의 민감한 데이터를 훔치기 위해 이중 협박 공격을 실행하려고 시도합니다. 

증가하는 대규모 랜섬웨어 공격의 볼륨으로 인해, 사이버 수비수들은 관련된 위협에 대해 선제적으로 방어하고 악의적인 활동을 신속히 식별할 수 있는 새로운 방법을 모색하고 있습니다. SOC Prime의 Detection as Code 플랫폼 은 25개 이상의 SIEM, EDR 및 XDR 솔루션에 맞춘 20만 개 이상의 고유 탐지 알고리즘을 선별하여 조직별 콘텐츠 요구사항에 맞춥니다. 야심찬 탐지 엔지니어와 Threat Hunter는 SOC Prime의 크라우드소싱 이니셔티브 에 참여하여 Sigma 및 YARA 규칙을 작성하고, 이를 업계 동료들과 공유하며, 기여에 대한 반복적인 재정적 보상을 얻을 수 있습니다.