랜섬웨어 공격자들이 RAT, 프록시와 함께 SystemBC 악성코드 사용해

Ransomware Attackers Using SystemBC Malware With RAT and Tor Proxy

 

새로운 연구에 따르면, 점점 더 많은 사이버 범죄자들이 악성코드 및 공격 툴을 통한 랜섬웨어 배포 작업을 아웃소싱하고 있는 것으로 나타났습니다.

 

Sophos에서 발표한 새로운 분석에 따르면, Ryuk과 Egregor 랜섬웨어가 최근 배포 시 추가 페이로드를 로드하기 위한 네트워크 측면 이동을 위해 SystemBC 백도어를 사용한 것으로 나타났습니다.

 

파트너는 보통 타깃 네트워크에 침투할 초기 발판을 얻는 것을 도와줍니다.

 

Sophos의 Sean Gallagher는 아래와 같이 밝혔습니다.

 

“최근 랜섬웨어 공격자들이 SystemBC를 흔히 사용하고 있는 것으로 나타났습니다.”

 

“이 백도어는 자동화된 방식으로 다수의 타깃을 발견하고 추출, 측면 이동을 수행하기 위해 다른 스크립트 및 악성코드와 함께 사용될 수 있습니다.”

 

“원래 SystemBC의 기능은 대규모 악용을 위한 것이었지만, 이제는 랜섬웨어를 포함한 타깃형 공격을 위한 툴킷으로 사용되고 있습니다.”

 

지난 2019년 8월 Proofpoint에서 처음으로 문서화한 SystemBC는 SOCKS5 인터넷 프로토콜을 활용하여 명령 및 제어 서버로 향하는 트래픽을 마스킹하고 DanaBot 뱅킹 트로이목마를 다운로드 하는 프록시 악성코드입니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2020/12/16/systembc/>

 

 

SystemBC RAT은 C2 통신의 목적지를 암호화하여 숨기기 위해 Tor 연결을 사용하도록 툴셋의 범위를 확장하여 공격자가 또 다른 공격을 수행하기 위한 지속적인 백도어를 제공합니다.

 

연구원들은 SystemBC가 CobaltStrike와 같은 침투 후 사용되는 툴(post-exploitation tool)과 함께 많은 랜섬웨어 공격에 사용된 것을 발견했습니다. 이는 익명 연결을 통해 서버로 전송된 악성 셸 명령, VBS 스크립트, 다른 DLL blob을 파싱 및 실행하기 위해 Tor 프록시, 원격 접근 기능을 악용하기 위함입니다.

 

또한 SystemBC는 피싱 이메일을 통해 Buer Loader, Zloader, Qbot과 같은 악성코드 로더를 전달하는 많은 상용 툴 중 하나일 뿐인 것으로 보입니다.

 

따라서 연구원들은 해당 공격이 랜섬웨어 운영자의 파트너들이나 랜섬웨어 그룹이 서비스형 악성코드 제공자 다수를 통해 직접 실행하는 공격일 것으로 의심했습니다.

 

“이러한 기능은 공격자가 키보드를 사용하지 않고도 패키지화된 스크립트와 실행 파일을 사용하여 손쉽게 발견, 유출, 및 측면 이동을 수행할 수 있도록 합니다.”

 

상용 악성코드의 사용이 증가한 것으로 미루어 볼 때 파트너에게 서비스 형태로 랜섬웨어를 제공하는 방식이 새로운 트렌드로 자리잡았다고 볼 수 있습니다. Mount Locker의 경우, 운영자는 최소한의 노력으로 랜섬웨어를 배포하기 위해 파트너에게 이중 협박 기능을 제공합니다.

 

“서비스형 랜섬웨어 공격에 여러 툴을 사용할 경우 IT 보안 팀이 예측 및 처리하기 힘든 다양한 공격 프로필이 생성됩니다.”

 

“이러한 공격을 탐지 및 차단하는데는 심층 방어, 직원 교육, 수동 위협 탐색 등이 반드시 필요합니다.”

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.Glupteba.Gen’으로 탐지 중입니다.

 

 

 

 

 

출처:

https://thehackernews.com/2020/12/ransomware-attackers-using-systembc.html

https://news.sophos.com/en-us/2020/12/16/systembc/

https://github.com/sophoslabs/IoCs/blob/master/Malware-SystemBC.csv