상세 컨텐츠

본문 제목

GandCrab 랜섬웨어, 트로이목마와 함께 돌아와

국내외 보안동향

by 알약(Alyac) 2019. 1. 23. 15:55

본문

GandCrab returns with trojans and redundency 


GandCrab 랜섬웨어가 새로운 트로이목마들과 함께 돌아왔습니다.


이 새로운 툴들은, 공격을 통해 가치 있는 정보를 얻을 확률을 높이기 위해 인포 스틸러인 Vidar와 GandCrab 랜섬웨어의 조합을 사용한지 일주일 후 추가 되었습니다.


가장 최근 공격은 PowerShell을 암호화가 아닌 공격의 첫 단계를 전달하기 위한 입구로 사용했습니다.


이 페이로드는 이동식 실행 파일(PE) Base64 인코딩 바이트 코드이며, 마이크로소프트 윈도우용 무료 자동화 언어인 AutoIt을 통해 만들어졌습니다.


“AutoIt으로 만든 PE는 언패커(unpacker) 역할을 하며, 다른 서버로부터 다른 바이너리를 다운로드하고 다양한 보호 기능이 있는 모든 OS에서 실행 가능한 다중 레이어 공격 시나리오를 만드는 것이 목적입니다.”


“두 가지 유형의 랜섬웨어와 트로이목마를 다운로드하고 랜섬웨어 프로세스를 모니터링하고, 충돌 또는 갑작스런 종료가 발생할 경우 이를 재시작 하는 작업이 포함 됩니다.”


Check Point의 연구원들은 가장 최근 발생한 공격에서, 공격자들이 GandCrab 변종 2개와 함께 BetaBot (Neuvert)와 AzorUlt 데이터 스틸러 악성코드를 보조 페이로드로써 전달하는 것을 발견했습니다.


GandCrab 변종들 두 개를 배포하면, 기기가 충돌 도중에 감염 되었다 할지라도 공격자의 이익을 보장해줄 수 있게 됩니다.


연구원들은 BetaBot을 뚜렷한 목적은 없으나 C&C 서버의 명령을 받아 행동하는 “스위스 아미 나이프”와 같은 유형의 악성코드라 설명했습니다.


BetaBot이 먼저 실행 되고, 적절한 실행 및 탐지 우회를 위해 몇가지 단계를 거친 후 악성코드가 인젝션 됩니다. 이후 피해자의 기기의 정보를 수집하고, 분석 및 디버깅 툴을 찾고, 가상 머신 환경을 탐지하고, 안티바이러스 및 방화벽 툴을 확인 및 비활성화 하기 위해 C&C 서버로부터 다른 바이너리들이 다운로드 됩니다.


이 인포 스틸링 악성코드는 로그인 크리덴셜과 금융 데이터를 훔치는 것으로 알려졌습니다. 하지만 GandCrab과 관련 된 감염에서는 어떠한 목적으로 사용 되는지는 아직까지 밝혀지지 않았습니다.


AzorUlt 변종 데이터 스틸러 악성코드는 기기에 저장 된 가상화폐 지갑을 수집하고, FTP/인스턴트 메시지/이메일 클라이언트에 저장 된 크리덴셜을 추출하고, C&C로부터 명령을 받기 전 까지 대기상태를 유지합니다.


현재 알약에서는 해당 악성코드들에 대하여 Spyware.Infostealer.Azorult, Trojan.Injector.Autoit, Trojan.Downloader.Godzilla등으로 탐지중에 있습니다. 



출처 :

https://www.scmagazine.com/home/security-news/cybercrime/the-gandcrab-ransomware-has-returned-with-a-new-set-of-trojans-in-addition-to-its-initial-infection/

https://blog.checkpoint.com/2019/01/18/check-point-forensic-files-gandcrab-returns-with-friends-trojans/



관련글 더보기

댓글 영역