Evil Corp 사이버 그룹, 제재 피하기 위해 LockBit 랜섬웨어로 전환해

Evil Corp Cybercrime Group Shifts to LockBit Ransomware to Evade Sanctions

 

Evil Corp으로 알려진 러시아 기반 사이버 범죄 그룹과 겹치는 부분이 많은 위협 클러스터인 UNC2165가 여러 LockBit 랜섬웨어 침입 사건과 관련이 있는 것으로 나타났습니다. 이는 2019년 12월 미 재무부가 시행한 제재를 피하기 위한 것으로 보입니다.

 

위협 정보 회사인 Mandiant는 지난주 분석을 통해 아래와 같이 밝혔습니다.

 

"이러한 공격자들은 독자적인 랜섬웨어 변종을 사용하는 대신 잘 알려진 서비스형 랜섬웨어(RaaS)인 LockBit을 사용하기 시작했습니다. 이는 아마도 제재를 피하기 위한 것으로 보입니다.”

 

2019년부터 활동을 시작한 UNC2165는 훔친 크리덴셜과 FakeUpdates(SocGholish)라는 JavaScript 기반 악성코드 다운로더를 통해 피해자 네트워크에 대한 초기 접근 권한을 얻어 이전에는 Hades 랜섬웨어를 배포하는 데 사용한 것으로 알려져 있습니다.

 

Hades는 Gold Drake 및 Indrik Spider라고도 불리며, BitPaymer, DoppelPaymer, WastedLocker, Phoenix, PayloadBIN, Grief, Macaw와 같은 랜섬웨어 변종뿐 아니라 악명 높은 Dridex(Bugat) 트로이 목마를 사용하는 해킹 그룹인 Evil Corp의 작업입니다.

 

UNC2165는 2021년 초부터 제재를 회피하기 위해 Hades에서 LockBit로 전환한 것으로 알려졌습니다.

 

FakeUpdates는 과거 해킹된 시스템에 BitPaymer 및 DoppelPaymer를 드롭하는 통로로 사용되었던 Dridex를 배포하기 위한 초기 감염 벡터 역할을 했습니다.

 

Mandiant는 UNC2165와 스위스 사이버 보안 회사인 PRODAFT가 SilverFish라 명명한 Evil Corp와 연결된 사이버 스파이 활동과 유럽과 미국의 정부 기관 및 Fortune 500대 기업을 노리는 사이버 스파이 활동 간에 유사한 점을 추가로 발견했다고 밝혔습니다.

 

초기 해킹에 성공한 후에는 랜섬웨어 페이로드를 전달하기 전 권한 상승, 내부 정찰, 측면 이동, 장기 원격 접속 유지 작업 등 여러 작업이 수행됩니다.

 

제재가 랜섬웨어 공격을 억제하는 수단으로 점점 더 많이 사용되기 시작하면서, 피해자가 공격자와 협상하는 것을 금지하고 랜섬웨어 그룹의 배후에 있는 개인이아닌 그룹을 제재 목록에 올렸기 때문에 사이버 범죄자들은 법 집행을 피하기 위해 활동을 중단 후 그룹을 재편성하고, 다른 이름을 사용하는 브랜드로 변경하기도 했습니다.

 

Mandiant는 아래와 같이 설명했습니다.

 

"UNC2165가 기존 랜섬웨어를 채택하는 것은 Evil Corp와의 제휴를 은폐하려 시도하는 자연스러운 진화 단계입니다."

 

“이로써 해당 제재가 피해자로부터 돈을 갈취하는 것을 막지는 못한다는 것을 알 수 있습니다.”

 

 

 

 

출처:

https://thehackernews.com/2022/06/evil-corp-cybercrime-group-shifts-to.html

https://www.mandiant.com/resources/unc2165-shifts-to-evade-sanctions