해커들, Log4Shell 취약점을 악용하여 윈도우 시스템에 Khonsari 랜섬웨어 드롭해

Hackers exploit Log4Shell to drop Khonsari Ransomware on Windows systems

 

Bitdefender의 연구원이 공격자가 Log4Shell 취약점(CVE-2021-44228)을 악용하여 윈도우 시스템에 새로운 Khonsari 랜섬웨어를 배포하려 시도하는 것을 발견했습니다.

 

공격자는 Log4Shell 원격 코드 실행 취약점을 악용하여 원격 서버에서 타깃 시스템 내 파일을 암호화하고, 각 파일에 확장명 .khonsari를 추가하는 .NET 바이너리를 다운로드 합니다.

 

또한 이 악성코드는 랜섬머니를 비트코인으로 지불할 것을 요청하는 랜섬노트를 드롭합니다.

 

랜섬노트는 "C:\Users\\Desktop\HOW TO GET YOUR FILES BACK.TXT"에 위치하며, 아래는 피해자에게 보여지는 텍스트입니다.

 

Your files have been encrypted and stolen by the Khonsari family.If you wish to decrypt , call (225) 287-1309 or email karenkhonsari@gmail.com.If you do not know how to buy btc, use a search engine to find exchanges.DO NOT MODIFY OR DELETE THIS FILE OR ANY ENCRYPTED FILES. IF YOU DO, YOUR FILES MAY BE UNRECOVERABLE.

 

 

<이미지 출처 : https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild>

 

 

Bitdefender는 분석을 통해 아래와 같이 밝혔습니다.

 

“지난 12월 11일 일요일, Bitdefender는 hxxp://3.145.115[.]94/zambo/groenhuyzen.exe에서 악성 .NET 바이너리 파일 다운로드인 이 페이로드를 발견했습니다. 이는 새로운 랜섬웨어 패밀리로 암호화된 파일에 추가되는 확장자에서 이름을 따 Khonsari라 명명되었습니다.”

 

“이 악성파일이 일단 실행되면 C:\ 드라이브를 제외한 모든 드라이브를 나열 후 완전히 암호화합니다. Khonsari는 C:\ 드라이브에서 아래 폴더만 암호화합니다.

 

C:\Users\<user>\Documents

C:\Users\<user>\Videos

C:\Users\<user>\Pictures

C:\Users\<user>\Downloads

C:\Users\<user>\Desktop”

 

Khonsari 랜섬웨어는 확장자가 .ini 및 .lnk인 파일을 암호화하지 않으며, PaddingMode.Zeros 알고리즘을 사용하는 AES 128 CBC를 통해 파일을 암호화합니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125630/malware/khonsari-ransomware-log4shell.html

https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild