LockBit 랜섬웨어 탐지: 사이버 범죄 조직 Evil Corp 연계 그룹, UNC2165로 알려진, 미국 제재 회피 시도

2019년 12월, 미국 재무부 해외자산통제국(OFAC)은 악명 높은 Dridex 악성코드의 배포 및 전개를 담당한 러시아 연계 사이버 범죄 조직인 Evil Corp (드리덱스, INDRIK SPIDER)을 제재했습니다. Dridex 악성코드 은행 및 금융 기관을 거의 10년간 표적으로 삼았습니다. 제재를 피하기 위한 시도로, 위협 행위자들은 새로운 악성코드 샘플을 개발하고 적용하여 보다 복잡한 랜섬웨어 작업으로 전환할 방법을 찾고 있었습니다. 이에는 WasterLocker and Hades 랜섬웨어가 있으며, 후자는 코드 난독화 개선으로 강화되었습니다.

최신 연구에 따르면, Mandiant는재정적 이득을 노리는 UNC2165라는 위협 그룹이 이전에 Hades 악성 소프트웨어를 전달했으며 LockBit 랜섬웨어 침투 또한 Evil Corp와 유사한 공격자 행동 패턴을 기반으로 연결될 수 있습니다. 따라서 UNC2165 그룹의 악의적인 활동은 Evil Corp 연관 작업의 또 다른 진화 단계로 간주될 수 있습니다., can be affiliated with the Evil Corp actors based on overlaps and similar adversary behavior patterns. Therefore, the malicious activity of the UNC2165 group can be considered another step in the evolution of Evil Corp-affiliated operations. 

UNC2165와 관련된 Evil Corp 활동 탐지

랜섬웨어 공격의 진화는 전 세계 조직에 심각한 위협을 가하고 있으며, 따라서 효과적인 사이버보안 전략을 구축할 때 그들의 적시 탐지는 중요한 고려사항으로 보입니다. 계속해서 진화하는 Evil Corp 연계 공격자의 도구를 탐지하기 위해 SOC Prime의 Detection as Code 플랫폼에서 제공하는 Sigma 규칙 세트를 탐색하세요.

UNC2165로 추적된 Evil Corp 연계 활동을 감지하기 위한 Sigma 규칙

모든 탐지는 SOC Prime 플랫폼에서 지원하는 업계 선도적인 SIEM, EDR 및 XDR 솔루션에 적용 가능하며, 관련 위협에 대한 포괄적인 가시성을 보장하는 MITRE ATT&CK® 프레임워크와 정렬됩니다.

정보보안 실무자들은 향상된 위협 탐지 및 사냥 역량을 갖추기 위해 SOC Prime의 플랫폼에서 제공되고 맞춤형 보안 요구에 맞춰 조정된 전체 Sigma 규칙 컬렉션을 탐색해야 합니다. LockBit 랜섬웨어를 탐지하고 관련 위협을 즉시 검색할 수 있는 SOC 콘텐츠의 포괄적인 목록을 탐색하려면 Detect and Hunt 버튼을 클릭하세요. 심층적인 위협 조사를 위해 MITRE ATT&CK 참조, 관련 CTI 및 기타 메타데이터를 즉시 탐색하려면 SOC Prime의 검색 엔진에서 Threat Detection, Threat Hunting 및 CTI를 클릭하여 Explore Threat Context 버튼을 탐색하세요.

Detect & Hunt Explore Threat Context

UNC2165가 LockBit 랜섬웨어를 배포: 새로운 공격 벡터

심층적인 조사 에 따르면, UNC2165로 추적된 해커 집단이 재정적 이득을 위해 LockBit 랜섬웨어를 점점 더 많이 사용하고 있습니다. 보안 전문가들은 UNC2165가 Evil Corp 행위자와 상당한 겹침이 있으며, 도구 세트를 변경하여 미국의 제재를 피하기 위해 다시 한 번 변신하는 집단의 새로운 환생이라고 지적합니다.

2019년 Dridex 악성코드 캠페인으로 제재를 받은 이후, Evil Corp 그룹은 재정적으로 동기가 부여된 작업을 계속하기 위해 여러 차례 도구 세트를 변경했습니다. 이전에는 ‘FakeUpdates’ 감염 체인을 통해 표적 네트워크에 침투하여 WastedLocker와 Hades의 맞춤형 변종을 배포하는 독특한 접근 방식을 갖고 있었습니다. 그러나 최근에는 Evil Corp이 LockBit 랜섬웨어-as-a-service (RaaS) 를 점점 더 많이 사용하는 것으로 확인되었습니다. 이는 다른 LockBit RaaS 연계자들 사이에 숨고 익명으로 작업하기 위해 LockBit 인프라를 활용하는 것이 제재 회피의 이유입니다.

Mandiant 전문가들은 새로운 공격 체인을 분석한 결과 UNC2165 행위자들이 초기 침입을 위해 FakeUpdates에 고정되어 있음을 결론지었습니다. 특히 해커들은 DONUT 및 COLOFAKE 로더를 사용하여 Cobalt Strike Beacon을 배포하고 네트워크에서 입지를 확보합니다. 그 후, Mimikatz 및 Kerebroasting 공격이 특권 승격에 활용되며, 내부 정찰에는 (whoami, nltest, cmdkey, and net) 같은 네이티브 Microsoft Windows 유틸리티가 사용됩니다. 환경 전반에서 민감한 데이터가 해커들에 의해 접근하고 탈취된 후, UNC2165는 LockBit 페이로드를 떨어뜨려 지정된 자산을 암호화합니다.

가장 포괄적인 SOC 팀 도구 세트를 통해 위협 탐지 기능을 강화하고 위협 사냥 속도를 가속화하세요. SOC Prime의 Detection as Code 플랫폼을 통해! 지금 바로 가입하여 사이버보안 작업의 효율성을 높이기 위해 고급 도구와 함께 가장 큰 탐지 콘텐츠 라이브러리에 즉시 접근하세요.