TrickBot, Shatak 피셔와 함께 Conti 랜섬웨어 공격 실행해

TrickBot teams up with Shatak phishers for Conti ransomware attacks

 

Shatak(TA551)로 알려진 공격자가 최근 ITG23 범죄 그룹(TrickBot, Wizard Spider로도 알려짐)과 협력해 타깃 시스템에 Conti 랜섬웨어를 배포하고 있는 것으로 나타났습니다.

 

Shatak은 다른 악성코드 개발자와 협력하여 피해자가 악성코드를 다운로드하고 이에 감염되도록 하는 피싱 캠페인을 실행합니다.

 

IBM X-Force의 연구원은 Shatak과 TrickBot이 2021년 7월부터 협력하기 시작했으며, 현재까지 캠페인이 지속되고 있는 것으로 보아 좋은 결과를 얻은 것으로 추측된다고 밝혔습니다.

 

Cybereason은 기술 분석을 통해 서로 다른 두 공격자가 랜섬웨어 공격을 배포하기 위해 어떻게 협력했는지에 대한 자세한 내용을 공개했습니다.

 

피싱 이메일로 시작되는 공격

 

Shatak의 감염 체인은 악성 문서가 포함된 암호로 보호된 압축 파일을 첨부한 피싱 이메일을 보내는 것으로 시작됩니다.

 

IBM X-Force의 10월 보고서에 따르면, Shatak은 보통 이전 피해자로부터 훔친 회신 체인 이메일을 사용하여 비밀번호로 보호된 압축 파일을 첨부합니다.

 

 

<이미지 출처 : https://securityintelligence.com/posts/trickbot-gang-doubles-down-enterprise-infection/>

<Shatak 피싱 이메일의 예>

 

 

해당 첨부 파일에는 원격 사이트에서 TrickBot 또는 BazarBackdoor 악성 코드를 다운로드 및 설치하기 위해 base-64로 인코딩된 코드를 실행하는 스크립트가 포함되어 있습니다.

 

가장 최근 캠페인에 사용된 배포 사이트는 독일, 슬로바키아, 네덜란드 등 유럽 국가에 위치합니다.

 

 

<출처 : https://www.cybereason.com/blog/threat-analysis-report-from-shatak-emails-to-the-conti-ransomware>

<Shatak의 감염 체인>

 

 

ITG23은 TrickBot/BazarBackdoor를 성공적으로 배포한 후 해킹된 시스템에 Cobalt Strike 비콘을 배포 후 지속성을 위해 예약된 작업에 추가합니다.

 

그런 다음 Conti 공격자는 드롭된 BazarBackdoor를 통해 네트워크를 정찰해 사용자, 도메인 관리자, 공유 컴퓨터, 공유 리소스를 나열합니다.

 

이후 사용자 크리덴셜, 암호 해시, Active Directory 데이터를 훔치고 네트워크를 통해 측면으로 확산합니다.

 

이 공격이 남긴 흔적은 RDP 연결에 사용되는 레지스트리 값을 조작하고 'netsh' 명령을 사용하여 Windows 방화벽 규칙을 수정하는 것이 포함됩니다.

 

또한 Windows Defender의 실시간 모니터링 기능도 비활성화하여 암호화 과정 중 경고 또는 개입을 방지합니다.

 

다음 단계는 파일 암호화 전의 마지막 단계인 데이터 유출입니다. Conti는 'Rclone' 툴을 사용하여 모든 것을 제어하는 원격 엔드포인트로 전송합니다.

 

 

<이미지 출처 : https://www.cybereason.com/blog/threat-analysis-report-from-shatak-emails-to-the-conti-ransomware>

<Defender의 실시간 보호 기능 비활성화>

 

 

네트워크에서 모든 중요한 데이터를 수집한 후 위협 행위자는 랜섬웨어를 배포하여 장치를 암호화합니다.

 

또 다른 잠재적인 협력자들

 

프랑스의 CERT가 발표한 최신 보고서에 따르면, TA551은 랜섬웨어 그룹인 'Lockean'의 협력자인 것으로 밝혀졌습니다.

 

Shatak은 ProLock, Egregor, DoppelPaymer 랜섬웨어 감염/배포에 사용된 Qbot/QakBot 뱅킹 트로이 목마를 배포하기 위해 피싱 이메일을 전송했습니다.

 

따라서 TA551은 연구원들이 발견한 것 이외에 더 많은 랜섬웨어 그룹과 협력했을 가능성이 있습니다.

 

이 공격자는 Shathak, UNC2420, Gold Cabin과 같은 다른 이름으로도 알려졌습니다.

 

공격으로부터 보호하는 방법

 

이러한 공격 유형을 방어하는 최선의 방법은 직원들에게 피싱 이메일의 위험에 대해 교육하는 것입니다.

 

그 외에도 관리자는 관련 이벤트 로그를 정기적으로 모니터링해 계정에 대해 다단계 인증 사용을 시행하고, 사용하지 않는 RDP 서비스를 비활성화하고, 비정상적인 구성 변경이 있는지 확인해야 합니다.

 

마지막으로 중요한 데이터를 안전한 원격 위치에 정기적으로 백업한 다음 해당 백업을 오프라인으로 전환하여 공격자의 타깃이 되지 않도록 하는 것입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/trickbot-teams-up-with-shatak-phishers-for-conti-ransomware-attacks/

https://www.cybereason.com/blog/threat-analysis-report-from-shatak-emails-to-the-conti-ransomware