상세 컨텐츠

본문 제목

기업 네트워크를 노리는 새로운 MegaCortex 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2019. 5. 7. 13:44

본문

New MegaCortex Ransomware Found Targeting Business Networks


기업 네트워크 및 사용자 PC를 노리는 새로운 랜섬웨어 MegaCortex가 발견되었습니다. 


공격자는 네트워크 침투에 성공하면, 윈도우 도메인 컨트롤러를 통해 해당 랜섬웨어를 네트워크 전체에 배포하고 PC를 감염시킵니다.


Sophos의 보고서에 따르면 이 새로운 랜섬웨어는 주로 미국, 이탈리아, 캐나다, 프랑스, 네덜란드, 아일랜드의 사용자들을 감염시켰습니다.


아직 이 랜섬웨어에 대한 암호화 알고리즘, 네트워크 침투 방법, 랜섬머니 요구 과정 등은 정확히 알려지지 않았습니다.


MegaCortex 랜섬웨어


Sophos의 연구원들은 Emotet 및 Qakbot 트로이목마가 발견되었던 네트워크에서 MegaCortex도 감염된 사실을 발견했습니다. 


전문가들은 공격자들이 시스템 공격을 위해 트로이목마 운영 업체에 돈을 지불하고 있다고 추측하고 있습니다.


이는 Ryuk가 사용한 방식과 유사합니다.


아직까지 MegaCortex 공격이 Emotet 악성코드의 도움을 받았는지가 확실하지는 않습니다.


그러나 전문가들은 MegaCortex 공격과 Emotet, Qbot 악성코드 감염이 동일한 네트워크상에서 이루어진 것으로 보아 관계가 있을 것이라고 보고 있습니다.


공격자의 네트워크 침투 방법이 확실히 밝혀진 것은 아니지만, 피해자들은 손상된 도메인 컨트롤러에서 공격이 발생했다고 제보했습니다.


손상된 도메인 컨트롤러에서는 공격자의 호스트에 리버스 쉘을 생성하기 위한 Cobolt Strike가 배포 및 실행되었습니다.


공격자들은 이 쉘을 이용하여 원격으로 도메인 컨트롤러에 접근하여 PsExec 복사본, 악성코드 실행 파일 및 배치 파일을 감염된 네트워크의 모든 컴퓨터에 배포하도록 구성했습니다. 


이후 PsExec를 통해 원격으로 배치파일을 실행합니다.


이 배치 파일은 프로세스 44개를 종료하고, 윈도우 서비스 199개를 중단시키며 194개 서비스를 비활성화시킵니다.


<이미지 출처: https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/>


이 배치 파일은 백신 서비스를 모두 중지시킨 후, 메인 악성코드 파일인 winnit.exe를 실행합니다.


이 Winnit.exe 실행 파일은 base64 인코딩된 문자열을 사용하여 프로그램을 시작합니다.


그리고 임의의 이름을 가진 DLL 페이로드를 추출하고 rundll32.exe를 사용해 DLL 파일을 시작합니다.


이 DLL 파일은 컴퓨터를 암호화하는 실제 랜섬웨어 컴포넌트입니다.


해당 랜섬웨어의 한 샘플은 암호화한 파일에 ‘.aes128ctr’라는 확장자를 붙였습니다. 


예를 들어 marketing.doc라는 파일이 암호화되면 marketing.doc.aes128ctr라고 이름이 변경됩니다.


암호화된 파일에 붙는 확장자명이 정해진 것인지는 밝혀지지 않았습니다.


그리고 랜섬노트에는 랜선머니를 지불하라는 요청과 연락을 취할 수 있는 이메일 주소가 포함되어 있습니다. 


랜섬노트 파일 명은 !!!_READ_ME_!!!.txt이며 포함된 메일 주소는 shawhart1542925@mail[.]com 및 anderssperry6654818@mail[.]com입니다.

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-megacortex-ransomware-found-targeting-business-networks/>


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.MegaCortex으로 탐지 중에 있습니다.




출처:

https://www.bleepingcomputer.com/news/security/new-megacortex-ransomware-found-targeting-business-networks/

https://news.sophos.com/en-us/2019/05/03/megacortex-ransomware-wants-to-be-the-one/

관련글 더보기

댓글 영역