마우이 랜섬웨어 탐지: 미국 의료 및 공공 건강 부문을 노리는 새로운 위협

새로운 랜섬웨어 위협에 대비하세요! 2022년 7월 6일, FBI, CISA 및 재무부가 공동 사이버 보안 권고 (CSA)를 발행하여 북한 APT 그룹이 미국 헬스케어 및 공공 건강 부문 조직을 대상으로 마우이 랜섬웨어를 적극 활용하고 있음을 경고했습니다. 이러한 공격은 최소 2021년 5월부터 관찰되었으며, 비정상적인 작업 루틴 때문에 조직에 점점 더 큰 위협이 되고 있습니다. 특히, 마우이는 파일을 암호화할 파일을 수동으로 선택하고, 복구 지침을 제공하는 포함된 랜섬 노트가 없는 것으로 보입니다.

마우이 랜섬웨어 탐지

사이버 보안 실무자들은 새로 출현하는 위협에 대해 사전에 방어하고, 끊임없이 변화하는 사이버 위협 환경에 발맞추기 위해 지속적으로 방법을 모색하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 마우이 랜섬웨어를 활용하는 북한 국가지원 APT 그룹의 악성 활동을 제때 식별하기 위해 새로운 Sigma 규칙 을(를) 우리의 뛰어난 위협 현상금 프로그램 개발자인 Nattatorn Chuensangarun이 제작하였습니다. SOC Prime의 플랫폼에 가입하거나 로그인 후, 전용 컴플라이언스 기반 Sigma 규칙에 즉시 액세스하려면 아래 링크를 따르세요:

Palo Alto Networks 마우이 랜섬웨어용 서명 감지가 헬스케어 및 공공 건강 부문을 목표로 합니다

진보적인 위협 헌터와 탐지 엔지니어는 SOC Prime의 크라우드 소싱 이니셔티브의 힘을 활용하려면 위협 현상금 프로그램 에 참여하여 자신만의 탐지 콘텐츠를 기여하면서 집단적인 사이버 보안 전문성을 풍부하게 하고, 그 기여에 대한 재정적 이익을 얻게 됩니다.

위에서 언급한 마우이 랜섬웨어 탐지 Sigma 규칙은 18가지 업계 선도적인 SIEM, EDR, XDR 솔루션에 적용할 수 있으며, 온프레미스와 클라우드 네이티브 환경 모두에서 적용 가능합니다. 이 탐지는 MITRE ATT&CK® 프레임워크 에 맞춰 실행 및 영향 전술을 명령어 및 스크립팅 인터프리터(T1059) 및 영향에 대한 데이터 암호화(T1486) 기술을 각각 대상으로 합니다.

SOC Prime의 연간 Detection as Code Innovation Report 보고서에 따르면, 2020-2021년 동안 랜섬웨어는 침입의 정교함이 증가하고 악성 운영자가 늘어남에 따라 계속해서 증가하는 추세였습니다. SOC Prime의 플랫폼은 관련 위협을 방지하기 위해 폭넓은 탐지 알고리즘을 제공합니다. 등록된 SOC Prime 사용자는 랜섬웨어 탐지를 위한 Sigma 규칙의 포괄적인 목록에 액세스하기 위해 Detect & Hunt 버튼을 클릭할 수 있습니다. 또는, 보안 실무자들은 SOC Prime을 탐색하여 즉시 관련 Sigma 규칙에 액세스할 수 있으며, 여기에는 MITRE ATT&CK 및 CTI 참조, CVE 설명, 탐지와 연결된 실행 가능한 바이너리 등과 같은 문맥적 메타데이터가 포함됩니다. 탐색하려면 Explore Threat Context 버튼을 클릭하십시오.

Detect & Hunt Explore Threat Context

마우이 랜섬웨어 설명

심층적인 조사 에 따르면, 마우이 랜섬웨어는 2021년 4월에 처음 등장했으며, 이름이 알려지지 않은 북한 지원 APT 행위자에게 기인합니다. 2021년 5월부터 FBI는 마우이 랜섬웨어를 활용하여 미국의 헬스케어 및 공공 건강 부문에 대한 다수의 공격을 관찰하고 있습니다. 이 합침의 대부분은 전자 건강 기록, 진단, 이미징 및 인트라넷 등 헬스케어 서비스를 책임지고 있는 서버를 목표로 하고 있습니다.

특히, 마우이는 다른 RaaS(서비스형 랜섬웨어) 그룹과의 차별성을 둡니다. 랜섬웨어 운영자는 암호화할 파일을 수동으로 선택하여 각 침투를 독특하고 고도로 표적화되게 만듭니다. 또한, 마우이는 복구 단계를 설명하는 포함된 랜섬 노트가 없습니다.

공격 킬 체인은 ‘maui.exe’로 명명된 암호화 바이너리를 실행하는 것으로 시작됩니다. 이 악성 코드의 스트링은 내부의 표적 인프라에서 파일을 잠급니다. 특히 해커는 파일 암호화를 결정하기 위해 명령줄 인터페이스를 활용하며, AES, RSA 및 XOR 암호화의 조합을 사용합니다. 암호화 후, 마우이 랜섬웨어는 공격 출력을 포함한 ‘maui.log’ 파일을 생성하며, 이는 적에 의해 추출되고 복호화됩니다.

참여하기 SOC Prime의 Detection as Code 플랫폼 에 참여하여 기존 및 지속적으로 출현하는 위협에 효과적으로 방어하고, 조직의 사이버 보안 태세를 현저히 향상시키세요. 새로운 지평을 찾고 있는 능동적인 사이버 보안 실무자라면, 우리의 행렬에 합류하여 위협 현상금 프로그램 Sigma와 YARA 규칙을 작성하고, 그것들을 산업 동료들과 공유하며, 당신의 기여에 대한 지속적인 금융 혜택을 얻으세요.