본문 바로가기
Others

Wizard Spider

by sseddi 2022. 11. 15.
728x90

Wizard Spider🕸️

러시아 APT 그룹으로 트릭봇을 북미, 호주 및 유럽 전역의 은행 사이트를 대상으로 개발 및 처음 사용했다. 이외 다양한 도구를 보유하고 있으며 대기업부터 병원까지 다양한 조직을 상대로 랜섬웨어 캠페인을 벌이고 있다.

FBI에 따르면 2019~2020, 1년도 안되는 기간 동안 랜섬웨어 공격에서 6,100만 달러를 갈취했다고 한다. 다단계 접근 방식을 사용하며 피해자의 네트워크를 암호화하기 전에 민감한 데이터를 빼내 피해자에게 돈을 요구하는 방식을 사용한다.

관련 그룹으로는 UNC1878, TEMP.MixMaster, Grim Spider가 있다.

*관련 그룹) 참조가 중복되고, 위협 인텔리전스 보고에서 동일하거나 유사한 그룹을 참조할 수 있는 이름

공격

MITRE ATT&CK을 보면 해당 그룹이 사용한 기술이나 소프트웨어가 많은데 그 중에서도 wizard spider가 대표적으로 사용하는 공격 소프트웨어 4가지를 살펴보자 (그냥 궁금해서)

Ryuk 랜섬웨어

류크 랜섬웨어는 표적형 랜섬웨어로 기업환경을 대상으로 하는데 사용한다.

표적공격을 위해 스피어 피싱 이메일, VPN이나 원격 근무 시스템 등에 접근하기 위해 타인의 아이디/비밀번호 악용, 악성 프로그램 감염 등 피해자에게 맞춰진 다양한 경로를 이용한다.

류크 바이너리는 두 타입으로 나뉜다.

  • dropper
  • Ryuk executeable payload
  • 이게 dropper을 삭제하기 때문에 dropper 복구는 드물다.

랜섬웨어 자체에도 내부 네트워크를 스캔하여 SMB 공유폴더에 접근해 전파되는 기능이 있다.

주로 APT 공격을 통해 유포되는 특징이 있다.

Hermes 랜섬웨어와 유사한 코드 부분이 존재하여 유사성이 들어났다. Hermes 랜섬웨어는 다크웹에서 판매되는 악성코드로, 여러 사이버 공격자에 의해 사용돼 왔다.

파일 암호화

대칭 AES(256비트) 암호화와 비대칭 RSA(2,048비트 또는 4,096 비트) 암호화를 함께 사용한다.

  • 대칭 AES(256비트) 암호화 → 파일 내용 암호화
  • 비대칭 RSA(2,048비트 또는 4,096 비트) 암호화 → 대칭 키 암호화

확장자가 dll, Ink, hrmlog, ini, exe인 파일을 제외한 모든 파일을 암호화 한다.

→ 시스템 안정성을 유지하고 피해자가 브라우저를 사용해 돈을 지불할 수 있도록 하기 위해서이다.

배포 방법

Emotet과 Tricbot 조합을 통해 배포하는 형태가 많았으며 최근에는 BazarLoader도 이를 배포하는 것으로 나타났다.

탐지

Ransom-Ryuk![partial-hash]라는 이름으로 탐지되며 기업은 오픈 소스 기반 침투 테스트 도구, 해킹 프레임워크 등 악의적으로 쓰일 수 있는 도구의 비정상적인 작동을 주의해야한다.

 

Conti 악성코드

류크와 마찬가지로 접근 권한 획득을 위해 Tricbot 악성코드를 사용하면서 IcedID와 같은 다른 트로이목마도 사용했다.

이런 트로이목마는 일반적으로 악성링크 또는 마이크로소프트 워드 첨부파일이 포함된 스피어 피싱 이메일을 통해 배포된다.

 

Reference

728x90

댓글