상세 컨텐츠
본문
CISA updates Conti ransomware alert with nearly 100 domain names
미 CISA가 Conti 랜섬웨어에 대한 경고를 업데이트해 침해 지표(IoC)에 악성 도메인명 100개 가까이를 추가했습니다.
2021년 9월 22일 처음 게시된 이 권고에는 CISA와 FBI가 미국 내 조직을 노린 Conti 랜섬웨어 공격에 대해 조사한 세부적인 정보가 포함되어 있습니다. 업데이트된 사이버 보안 권고에는 미 비밀 경호국의 데이터가 포함되어 있었습니다.
Conti IoC 도메인
Conti 랜섬웨어에 대한 자세한 내부 정보는 해당 그룹이 우크라이나 침공에 대해 러시아 편을 들겠다고 공개적으로 발표한 2월 말쯤 누출되기 시작했습니다.
처음에는 랜섬웨어 그룹의 개인 메시지, 다음으로는 랜섬웨어, 관리 패널, 기타 툴의 소스코드가 차례로 공개되었습니다.
해당 데이터 캐시에는 가치 높은 타깃의 네트워크에 대한 초기 접근용으로 사용되는 악성코드인 BazarBackdoor를 이용한 해킹에 사용되는 도메인도 포함되었습니다.
CISA는 Conti 그룹이 전 세계적으로 조직 1천곳 이상을 공격했으며, 가장 널리 확산된 공격 벡터는 TrickBot 악성코드, Cobalt Strike 비콘이라고 밝혔습니다.
또한 악성코드를 배포하는 그룹이 Conti 랜섬웨어 공격에 사용한 것과 "등록 및 네이밍 특징이 유사한" 도메인 명 98개를 발표했습니다.
해당 기관은 이 도메인이 악성 공격에 사용되었으며, 일부는 "버려지거나 우연히 특징이 유사한 경우가 있을 수 있다”고 밝혔습니다.
| badiwaw[.]com balacif[.]com barovur[.]com basisem[.]com bimafu[.]com bujoke[.]com buloxo[.]com bumoyez[.]com bupula[.]com cajeti[.]com cilomum[.]com codasal[.]com comecal[.]com dawasab[.]com derotin[.]com dihata[.]com dirupun[.]com dohigu[.]com dubacaj[.]com fecotis[.]com |
fipoleb[.]com fofudir[.]com fulujam[.]com ganobaz[.]com gerepa[.]com gucunug[.]com guvafe[.]com hakakor[.]com hejalij[.]com hepide[.]com hesovaw[.]com hewecas[.]com hidusi[.]com hireja[.]com hoguyum[.]com jecubat[.]com jegufe[.]com joxinu[.]com kelowuh[.]com kidukes[.]com |
kipitep[.]com kirute[.]com kogasiv[.]com kozoheh[.]com kuxizi[.]com kuyeguh[.]com lipozi[.]com lujecuk[.]com masaxoc[.]com mebonux[.]com mihojip[.]com modasum[.]com moduwoj[.]com movufa[.]com nagahox[.]com nawusem[.]com nerapo[.]com newiro[.]com paxobuy[.]com pazovet[.]com |
pihafi[.]com pilagop[.]com pipipub[.]com pofifa[.]com radezig[.]com raferif[.]com ragojel[.]com rexagi[.]com rimurik[.]com rinutov[.]com rusoti[.]com sazoya[.]com sidevot[.]com solobiv[.]com sufebul[.]com suhuhow[.]com sujaxa[.]com tafobi[.]com tepiwo[.]com tifiru[.]com |
tiyuzub[.]com tubaho[.]com vafici[.]com vegubu[.]com vigave[.]com vipeced[.]com vizosi[.]com vojefe[.]com vonavu[.]com wezeriw[.]com wideri[.]com wudepen[.]com wuluxo[.]com wuvehus[.]com wuvici[.]com wuvidi[.]com xegogiv[.]com xekezix[.]com |
위 Conti 랜섬웨어 공격 관련 도메인 목록은 우크라이나 연구원이 BazarBackdoor 감염 시 유출한 도메인 수백 개와는 다른 것으로 보입니다.
Conti는 최근 내부 채팅 및 툴이 노출되어 세간의 관심을 받았음에도 활동을 중단하지는 않았습니다.
Conti는 3월 초부터 웹사이트에 미국, 캐나다, 독일, 스위스, 영국, 이탈리아, 세르비아, 사우디아라비아에서 발생한 피해자 20여명의 목록을 게시했습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 안드로이드 악성코드인 Escobar, 구글 인증기 MFA 코드 훔쳐 (0) | 2022.03.14 |
|---|---|
| 새로운 Emotet 봇넷 급격히 성장, 179개국 13만 봇 추가돼 (0) | 2022.03.11 |
| 원격에서 장치를 소각하고 전원을 비활성화 할 수 있는 APC UPS 제로데이 취약점(TLStorm) 발견! (0) | 2022.03.10 |
| 러시아 정부 웹사이트 다수, 공급망 공격에 해킹돼 (0) | 2022.03.10 |
| Intel 및 ARM 기반 CPU에 영향을 미치는 새로운 Spectre 취약점 주의 (0) | 2022.03.10 |
댓글 영역