위협 사냥 콘텐츠: Avaddon 랜섬웨어 탐지

랜섬웨어 신진 세력인 Avaddon 랜섬웨어는 이달 초부터 스팸 캠페인으로 활발히 확산되고 있으며, 이 뒤에 있는 공격자들은 지하 포럼에서 제휴사를 계속 모집하고 있습니다. 탐지된 캠페인 중 하나에서 사이버 범죄자들은, Phorphiex/Trik Botnet을 사용하여 30만 건이 넘는 악성 이메일을 발송했습니다. 현재 Avaddon은 조직보다는 개별 사용자를 더 겨냥하고 있으며, 이 악성 코드의 발전이 어떻게 될지는 시간이 지나봐야 알 수 있습니다. 또한, 더 발전된 그룹들이 Maze 랜섬웨어를 DoppelPaymer, Ragnar Locker 등 몇몇 그룹들처럼 파일을 암호화하기 전에 데이터를 훔치지 않는 사건이 없는 한 말입니다.

사이버 범죄자들은 이메일 본문에 윙크 이모티콘만 포함하고 JPG 사진으로 가장한 JavaScript 파일을 첨부하여 악성 이메일을 보냅니다. 사용자가 의심하지 않도록, 공격자들은 더블 확장자를 사용합니다 (이 방법과 이를 탐지하려는 시도에 대해 더 읽어보실 수 있습니다 여기 and 여기). 악성 첨부파일은 PowerShell과 Bitsadmin 명령을 실행하여 Avaddon 랜섬웨어 실행 파일을 다운로드하고 실행합니다. 이번 캠페인은 ‘Love Letter’ 스팸 이 이번 2월에 Nemty 랜섬웨어를 배포했던 것과 비슷한 방식인데, 아마 이전 실수를 수정하고 악성 파일에 더블 확장자를 사용하기 시작한 같은 위협 행위자일 것입니다.

위협 사냥 규칙은 Osman Demir 에 의해 제출되어 Avaddon 랜섬웨어가 설치되고 첫 번째 공격 단계에서 보안 솔루션이 이를 발견할 수 있도록 합니다: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1

이 규칙은 다음 플랫폼에서 번역이 가능합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 영향

기술: 영향을 위한 데이터 암호화 (T1486)