새로운 엡실론 레드 랜섬웨어, 패치되지 않은 Microsoft Exchange 서버를 표적으로 삼다

REvil 갱단이 기업 네트워크 침투를 위해 엔터프라이즈 Microsoft Exchange 서버를 명시적으로 공격하는 새로운 악성 코드 변종 뒤에 있을 수 있습니다. 새 위협은 최종 페이로드 전달을 위해 알려진 취약점을 악용하도록 무력화된 일련의 PowerShell 스크립트에 의존합니다. 현재 연구자들은 하나의 성공적인 공격이 4.29BTC($210,000) 몸값 지불로 끝났음을 확인했습니다.

Epsilon Red 랜섬웨어란 무엇입니까?

악의적인 영역의 새로운 플레이어는 미국 기반의 숙박 업체에 대한 공격을 조사하던 중 2021년 5월 말 Sophos 전문가에 의해 식별되었습니다. 분석 결과 Epsilon Red는 Go 언어로 코딩된 비교적 간단한 64비트 Windows 실행 파일입니다. 기능은 lobbed되고 파일 암호화에만 사용되며, 다른 보다 정교한 작업은 PowerShell 스크립트에 의해 처리됩니다.

에 따르면 Sophos 조사, 적대자들은 초기 침입에 노출된 Microsoft Exchange 서버에 의존했습니다. 현재 그들이 불법적인 Exchange ProxyLogon 악용을 사용했는지는 불확실합니다. 그러나 조사에서 목표 서버가 명확히 취약했음이 확인되었습니다. 네트워크에 진입한 후 침입자들은 Windows Management Instrumentation (WMI) 도구를 활용하여 목표 서버에서 접근 가능한 시스템에 다른 소프트웨어를 배포했습니다.

공격을 진행하기 위해 위협 행위자들은 랜섬웨어 페이로드를 준비하고 Epsilon Red 실행 파일을 푸시하고 실행하는 10개 이상의 PowerShell 스크립트를 사용했습니다. 주목할 점은 이러한 PowerShell 스크립트의 난독화 메커니즘이 다소 약하고 기본적이라는 것입니다. 그럼에도 불구하고 이는 인기 있는 안티 바이러스 솔루션의 탐지를 피하기에 충분합니다.

보안 전문가는 악명 높은 REvil 갱단이 Epsilon Red 개발에 참여했을 가능성이 있다고 의심합니다. 이 추정을 뒷받침하는 주요 힌트는 손상된 인스턴스에 나타나는 몸값 메모입니다. 이는 REvil 랜섬웨어가 남긴 것과 유사하지만 몇 가지 추가 및 문법 업데이트가 포함되어 있습니다. 몸값 메모 외에는 Epsilon Red가 적용된 공격에는 REvil과 공통점이 없으며, 고유한 도구 및 전술이 적용되었습니다.

Epsilon Red 탐지

귀사의 인프라를 보호하고 Epsilon Red 감염을 방지하려면 당사의 뛰어난 Threat Bounty 개발자인 Sittikorn Sangrattanapitak이 출시한 커뮤니티 Sigma 규칙을 다운로드하십시오. 

https://tdm.socprime.com/tdm/info/KtL5teTMdTRJ/#sigma

이 규칙은 다음 언어로 번역됩니다:

SIEM: Azure Sentinel, ELK Stack

MITRE ATT&CK: 

전술: 정찰, 실행

기법: 능동 스캐닝 (T1595), 명령 및 스크립트 인터프리터 (T1059)

초기 감염 벡터가 ProxyLogon 악용에 취약한 Microsoft Exchange 서버로 의심되므로, 관리자들은 가능한 한 빨리 설치를 최신 보안 버전으로 업그레이드할 것을 강력히 권장합니다. 또한, Threat Detection Marketplace 사용자는 기존 보안 허점을 식별하기 위한 ProxyLogon 탐지 Sigma 규칙 세트 에 접근할 수 있습니다.

더 많은 위협 탐지 콘텐츠를 찾고 계십니까? Threat Detection Marketplace에 무료로 가입하여 최신 공격을 대상으로 하고 환경에 맞춤화된 100,000개 이상의 SOC 콘텐츠 항목에 접근하세요. Sigma 규칙을 직접 작성하고 싶으신가요? 당사의 Threat Bounty 프로그램에 참여하여 귀하의 기여에 대한 정기적인 보상을 받으세요!

플랫폼으로 이동 Threat Bounty 가입