양자 랜섬웨어 공격 탐지: 번개 속도로 배포되는 멀웨어

퀀텀 랜섬웨어는 2021년 여름 말부터 주목받고 있으며, 고속 및 동적으로 증가하는 침입에 연루되어 사이버 방어자들에게 적시에 위협을 감지하고 완화할 수 있는 짧은 시간만을 남겼습니다. 에 따르면 DFIR 사이버 보안 연구에서 관찰된 최신 퀀텀 랜섬웨어 공격은 목표 환경을 침해한 후 랜섬웨어를 배포하는 데 4시간 미만이 소요된 가장 빠른 사례 중 하나로 분류되고 있습니다.

퀀텀 랜섬웨어 탐지: Sigma 규칙

조직 환경에 대한 악명 높은 퀀텀 공격을 사전에 드러내기 위해, 우리의 위협 현상금 개발자들이 제공하는 다양한 시그마 규칙들을 활용할 수 있습니다. 에미르 에르도안 and 나타토른 추엔상아룬.

퀀텀 랜섬웨어가 Cobalt Strike Beacon 사용 (pipe_event를 통해)

의심스러운 퀀텀 랜섬웨어 동작 탐지 (process_creation을 통해)

생성된 예약 작업을 통한 퀀텀 랜섬웨어 지속 가능성 (process_creation을 통해)

IcedID 페이로드 실행을 통한 퀀텀 랜섬웨어 실행 가능성 (file_event를 통해)

도메인 간 호스트로 랜섬웨어를 전송하여 발생하는 퀀텀 랜섬웨어 실행 가능성 (process_creation을 통해)

PsExec 및 WMI를 사용한 퀀텀 랜섬웨어 실행 가능성 (process_creation을 통해)

최신 퀀텀 루틴이 감염 사슬을 촉발하기 위해 IcedID 샘플을 활용하는 것으로 가정함에 따라, IcedID 관련 공격을 식별하기 위한 탐지 콘텐츠를 확인해 볼 것을 권장합니다. 관련 시그마 규칙의 전체 목록은 SOC 프라임 플랫폼에서 다음 링크. 

을 통해 Sigma 규칙 업데이트를 추적하고 퀀텀 랜섬웨어에 대한 포괄적인 탐지 배치를 액세스하려면 탐지 보기 아래 버튼을 클릭하세요. 사이버 보안 커뮤니티가 악랄한 사이버 공격을 견디고 자신의 Sigma 기반 콘텐츠로 콘텐츠 라이브러리를 풍부하게 만들도록 지원하고 싶으신가요? Threat Bounty 프로그램에 참여하여 입력한 내용에 대해 반복적 보상을 받으세요.

탐지 보기 Threat Bounty 참여

퀀텀 랜섬웨어 공격 분석

최신 공격은 전반적으로 4시간 미만의 기록적인 시간 내에 랜섬을 달성했습니다. 랜섬웨어 공격은 IceID 페이로드 를 피싱 이메일을 통해 배포하여 타겟 인스턴스에서 시작되었습니다. 특히, 랜섬웨어 운영자는 IcedID를 악성 ISO 파일에 숨겨 이메일 보안을 우회하고 성공적인 감염을 보장했습니다. 초기 공격 단계 후 몇 시간 내에 적들은 직접 조작하는 활동을 시작하여  Cobalt Strike 악성코드 를 드롭하여 원격 액세스와 정보 탈취를 수행했습니다. 손쉬운 수평 이동을 위해 위협 행위자들은 LSASS를 활용해 Windows 도메인 자격 증명을 덤프하여 네트워크 내 접근 가능한 서버에 RDP 연결을 생성했습니다. 마지막으로, 해커들은 WMI와 PsExec 유틸리티를 사용하여 퀀텀 페이로드를 푸시하여 관심있는 자산을 암호화했습니다.

퀀텀 로커는 누구인가요?

퀀텀 랜섬웨어(퀀텀 로커)는 최초로 2020년 말에 공개된 MountLocker RaaS의 후속작입니다. 그 이후로 운영자들은 AstroLocker 또는 XingLocker와 같은 이름으로 자주 악성 제품을 변경하였습니다. 2021년 여름에 퀀텀 로커 샘플이 웹 상에 퍼지기 시작했습니다. 보고서에 따르면 reports복호화에 대한 몸값 요구는 $150,000에서 $3-4백만까지 크게 차이가 있습니다. 추가로, 적들은 이중 갈취 기법을 적용하여 퀀텀 로커 피해자에게 더 많은 압박을 가합니다.

능동적인 사이버 방어 능력을 강화하기 위해, 진보적인 조직들은 협업 사이버 방어 접근법에 의존합니다. 가속화되는 공격 볼륨에 지속적으로 대처하고 24시간 이내에 최신 위협에 대응하기 위해 SOC 프라임의 Detection as Code 플랫폼 에 가입하세요.