H0lyGh0st 탐지: 북한 APT와 연관된 새로운 랜섬웨어
목차:
새로운 날, 사이버 방어자들에게 또 다른 두통! Microsoft Threat Intelligence Center (MSTIC) 는 2021년 6월부터 전 세계 중소기업을 공격하고 있는 새로운 랜섬웨어 변종을 보고합니다. H0lyGh0st라고 명명된 이 악성코드는 emerging North Korean APT, DEV-0530로 추적되는 그룹에 의해 처음 개발되었습니다. 이 랜섬웨어 공격은 제조, 교육, 금융 서비스 및 기술과 같은 부문을 대상으로 하며, 명백히 금융 동기에 의해 추진됩니다.
DEV-0530의 활동에 대한 분석 결과, Plutonium(또는 Andariel)으로 알려진 또 다른 북한 지원 위협 행위자와의 관련성이 밝혀졌습니다. 이는 Lazarus 단체의 일원으로, 보안 전문가들은 이들이 공격을 진행하기 위해 서로 커뮤니케이션을 취하고 악성 도구를 공유하는 것을 관찰했습니다.
H0lyGh0st 탐지
H0lyGh0st 랜섬웨어와 관련된 행위를 식별하기 위해, 경험 풍부한 Threat Bounty 기여자가 제공한 다음의 위협 탐지 콘텐츠를 활용하세요 Aytek Aytemur and Muhammed Hamdi Akin:
규칙 키트는 MITRE ATT&CK® 프레임워크 v.10과 정렬되어 있으며, 26개 SIEM, EDR 및 XDR 플랫폼을 위한 번역이 포함되어 있습니다.
반복되는 주제처럼 들릴지 모르지만, 우리는 시기적절한 위협 예방 및 탐지의 중요성을 강조하고 싶습니다. SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 랜섬웨어 위협에 대한 가장 관련성 있는 탐지 콘텐츠에 접근하려면 Detect & Hunt 아래 버튼을 클릭하세요. 관련 위협을 쉽게 검색하고 CTI 및 MITRE ATT&CK 참조와 같은 맥락 메타데이터를 즉시 탐색하려면 Explore Threat Context 버튼을 클릭하여 SOC Prime의 검색 엔진을 사용해 위협 탐지, 위협 사냥 및 CTI에 대한 관련 검색 결과를 심층 분석하세요.
Detect & Hunt Explore Threat Context
H0lyGh0st 설명
MSTIC에 의해 수행된 심층 조사 에 따르면, H0lyGh0st 랜섬웨어는 북한 정부 지원 하에 새로운 DEV-0530 APT에 의해 개발된 비교적 새로운 변종입니다. 위협 행위자는 자금을 국외로 송금하기 위한 금융 동기의 공격에 악성코드를 활용하여 전 세계 무작위로 선택된 중소기업을 대상으로 합니다.
2021년 9월 이후 관찰된 모든 공격은 동일한 패턴을 따릅니다. 위협 행위자는 사용자 인터페이스 웹 응용프로그램과 CMSs의 패치되지 않은 취약점(예: CVE-2022-26352)을 활용하여 H0lyGh0st 랜섬웨어를 배포합니다. 그런 후, H0lyGh0st를 사용하여 .h0lyenc 확장자를 사용해 대상 인스턴스의 모든 파일을 암호화합니다. 그런 다음 공격을 입증하기 위해 파일 샘플을 피해자에게 보내고 랜섬 노트를 함께 송부합니다. 위협 행위자는 일반적으로 1.2에서 5 BTC 사이의 비트코인으로 지불을 요구합니다. 피해자와의 커뮤니케이션은 전용 .onion 웹사이트를 통해 진행되며, 여기에는 민감한 데이터를 판매하거나 공개하겠다는 위협도 포함되어 있어 이중 갈취 압력을 피해자에게 가하는 목적을 가지고 있습니다. 하지만 최근의 공격에서는 행위자의 암호화폐 지갑 분석에 따르면 2022년 7월 초 이후 성공적인 지불이 없는 것으로 나타났습니다.
H0lyGh0st 랜섬웨어 분석에 따르면 2021-2022 기간 동안 공격자는 Windows 시스템을 목표로 하는 4종의 악성코드를 출시했습니다 (TLC_C.exe, HolyRS.exe, HolyLock.exe, 및 BLTC.exe). BTLC_C.exe(SiennaPurple로 명명됨)는 C++로 프로그래밍되었고, 나머지 버전들(SiennaBlue로 추적됨)은 Go로 제작되어, 크로스 플랫폼 랜섬웨어 개발을 시도하고 있음을 나타냅니다. 최신 버전은 스트레인 난독화 및 예약 작업 삭제와 같은 주요 기능에 대한 향상을 포함하며 새로 등장했습니다. H0lyGh0st 해커들이 최근 금융 이득을 못 본 행운이 없는 가운데, 보안 연구원들은 이들의 다크 웹 활동에 대해 경고하고 있습니다.
6월에, 우리는 몇 가지 중요한 개선 사항 을 SOC Prime의 Threat Bounty Program에 도입했습니다. 사이버 세계에서 가장 왕성한 탐지 콘텐츠 개발자 프로그램에 대해 더 알아보고, SOC Prime과 함께 산업 리더로 자리 잡으세요.
