Magniber 랜섬웨어 탐지: 위협 행위자들이 Windows 사용자 대상 JavaScript 파일 유포

2021-2022년 내내, 랜섬웨어는 사이버 위협 환경에서 지배적인 트렌드 중 하나로, 침입의 복잡성이 증가하고 랜섬웨어 제휴사의 수가 급속히 증가하고 있다는 점이 그러한 동향을 보여줍니다. 사이버 보안 연구원들은 소프트웨어 업데이트로 위장한 Magniber 랜섬웨어를 배포하여 Windows 사용자를 대상으로 하는 악의적인 공격 캠페인이 계속되고 있다고 경고합니다.

Magniber 랜섬웨어 감지

Windows 사용자를 대상으로 한 Magniber 랜섬웨어 공격은 탐지를 우회하고 난독화를 사용하며 잠재적 피해자가 감염 체인을 트리거하도록 유도할 수 있는 더 발전된 공격 기능을 사용하는 대적 기술 때문에 상당한 위험을 초래할 수 있습니다. 사이버 보안 전문가들이 환경 내에서 악의적인 존재를 신속하게 식별할 수 있도록 하기 위해, SOC Prime의 플랫폼은 Magniber 랜섬웨어 탐지를 위한 새로운 Sigma 규칙을 큐레이션합니다. 우리의 예리한 Threat Bounty Program 개발자가 작성한 탐지 알고리즘은 Aykut Gurses 에 의해 생성된 JavaScript 파일 활동을 감지하여 Magniber 랜섬웨어 감염을 시작합니다. 아래 링크를 따라 이 Sigma 규칙과 관련된 모든 컨텍스트(예: MITRE ATT&CK® 참고자료, 미디어 링크, 위협 인텔리전스 및 실행 가능 바이너리)를 즉시 확인하세요.

Magniber 랜섬웨어 감염을 시작한 JavaScript 파일 활동 탐지 (cmdline 통해)

이 Sigma 기반 위협 사냥 쿼리는 23개 SIEM, EDR 및 XDR 솔루션에 걸쳐 활용될 수 있으며, MITRE ATT&CK 프레임워크에 벤치마크되어 Impact 전술을 다루며 대응하는 데이터 암호화 및 시스템 복구 억제 기술(T1486 및 T1490)을 구현합니다.

Sigma 및 ATT&CK 기술을 개발하고 수익화하려는 위협 사냥꾼 및 탐지 엔지니어는 Threat Bounty Program에 참여하여 크라우드소싱 개발의 일원이 되어 자신의 탐지를 제출하고, 하드 스킬 프로필을 구축하고, 산업 동료와 전문 지식을 공유할 수 있습니다. 

모든 기존 및 신흥 Magniber 랜섬웨어 공격을 선제적으로 방어하기 위해, 탐지 탐색 버튼을 클릭하여 관련 컨텍스트가 강화된 Sigma 규칙의 전체 컬렉션과 번역본을 즉시 확인하십시오. 체험 계정은 필요 없습니다 — 탐지 및 해당 사이버 위협 문맥에 대한 접근은 등록 없이도 가능합니다.

탐지 탐색

Magniber 랜섬웨어 분석: JavaScript 파일을 통한 감염을 전파하는 최근 공격

새로운 Magniber 랜섬웨어의 공격 물결이 사이버 위협 분야에서 혼란을 일으킵니다. Magniber 랜섬웨어 운영자는 보안 업데이트로 위장한 JavaScript 파일을 통해 악의적인 샘플을 유포하여 Windows 10 및 11 버전에 영향을 미칩니다. 가장 최근 HP Threat Research 전문가에 따르면, 공격자들은 감염된 데이터를 해독하고 복구하기 위해 최대 $2,500의 몸값을 요구합니다. 주목할 만한 점은 이전의 공격 캠페인에서 Magniber 랜섬웨어는 MSI 및 EXE 파일을 통해 배포되었지만, 이제는 최신 공격에 흔히 사용되는 JavaScript 기술로 전환되었다는 것입니다.   experts, attackers demand compromised users to pay a ransom of up to $2,500 to decrypt and recover their infected data. Notably, in previous adversary campaigns, Magniber ransomware was delivered via MSI and EXE files, now switching to JavaScript techniques typical of the most recent attacks.  

현재 진행 중인 공격에서 Magniber의 감염 체인은 Windows 10 소프트웨어 업데이트의 가짜 안티바이러스로 위장한 악의적인 ZIP 아카이브를 다운로드하는 것으로 시작됩니다. ZIP 파일을 추출하고 JavaScript를 다운로드하면 취약한 장치가 파일 암호화를 수행하는 랜섬웨어 스트레인으로 감염됩니다. Magniber 랜섬웨어 운영자가 사용하는 악성 JavaScript 파일은 난독화되어 있으며, .NET 파일을 시스템 메모리에서 실행하여 탐지를 우회하려는 등의 고급 탐지 회피 기술을 적용합니다. 이 .NET 파일은 쉘 코드를 디코딩하여 손상된 시스템에서 그림자 복사본 파일을 제거하고, 백업 및 데이터 복구 기능을 비활성화하여 위협 행위자가 몸값을 받을 가능성을 높입니다. 그림자 복사본 파일을 삭제하고 Windows 복구 설정을 차단하기 위해, Magniber는 Windows UAC(사용자 계정 제어) 기능을 사용하여 공격자가 상승된 권한으로 작업을 실행할 수 있게 합니다. 공격 수명 주기의 마지막 단계에서는 Magniber 랜섬웨어가 파일을 암호화하고, 감염된 사용자에게 결제 후 파일 복구에 대한 세부 정보를 포함하는 몸값 노트를 떨어뜨립니다. 

Magniber 랜섬웨어 완화 조치로서, 사이버 수비자는 가정 사용자에 대해서만 관리자 계정을 사용하는 것이 최우선적으로 필요할 경우에만 사용할 것을 권장하며, 소프트웨어 및 그 업데이트는 정품 및 신뢰할 수 있는 웹 리소스에서만 다운로드하고 사용자 데이터는 지속적으로 백업하여 적절한 시스템 보호 및 데이터 보안을 보장합니다. 

즉시 사용할 수 있는 650개 이상의 고유한 랜섬웨어 탐지를 위한 Sigma 규칙 에 단 몇 번의 클릭으로 접근할 수 있습니다! 30개 이상의 규칙을 무료로 얻거나 On-Demand를 통해 모든 탐지에 접근하십시오. http://my.socprime.com/pricing에서 더 빠른 탐지를 통해 95%를 경쟁자보다 빠르게 감지하고 On Demand로 즉시 가치를 창출하는 방법에 대해 자세히 알아보십시오. 여기.