보안정보

글로벌 정보보안 리더 윈스

새로운 Mimic 랜섬웨어, 'Everything' Windows 검색 도구 악용

분석팀 2023.01.27

New Mimic ransomware abuses ‘Everything’ Windows search tool

 

 

보안 연구원들은 Windows용 'Everything' 파일 검색 도구의 API를 활용하여 암호화 대상 파일을 찾는 Mimic이라는 새로운 랜섬웨어 변종을 발견했다.


2022년 6월 사이버 보안 회사인 Trend Micro의 연구원이 발견한 이 멀웨어는 주로 영어와 러시아어 사용자를 대상으로 하는 것으로 보인다.


Mimic의 일부 코드는 우크라이나 연구원이 2022년 3월 소스를 유출한 Conti 랜섬웨어와 유사하다.


Mimic 랜섬웨어 공격은 피해자가 이메일을 통해 실행 파일을 받는 것으로 시작되며, 이 실행 파일은 대상 시스템에서 기본 페이로드, 보조 파일 및 Windows Defender를 비활성화하는 도구를 포함하여 4개의 파일을 추출한다.


Mimic은 파일 대상을 좁히기 위해 command line을 지원하는 다용도 랜섬웨어 변종으로, 데이터 암호화 프로세스 속도를 높이기 위해 여러 프로세서 스레드를 사용할 수도 있다.

 

 

Files dropped by Mimic on the breached system

 

[그림 1. 손상된 시스템에서 Mimic에 의해 설치되는 파일]

 

 

새로운 랜섬웨어 제품군은 다음과 같은 최신 변종에서 볼 수 있는 몇 가지 기능을 갖추고 있다.


  • 시스템 정보 수집
  • RUN 키를 통해 지속성 생성
  • 사용자 계정 제어(UAC)의 바이패스
  • Windows Defender 비활성화
  • Windows 텔레메트리 비활성화
  • 셧다운 대책 활성화
  • 살상 방지 조치
  • 가상 드라이브 마운트 해제
  • 프로세스 및 서비스 종료
  • sleep 모드 비활성화 및 시스템 종료
  • 인디케이터 삭제
  • 시스템 복구 금지


프로세스 및 서비스 종료는 보호 조치를 비활성화하고 데이터베이스 파일과 같은 중요한 데이터를 해제하여 암호화에 사용할 수 있도록 하는 것을 목표로 한다.

 

 

Mimic configuration options

 

[그림 2. Mimic 구성 옵션]

 

 

"Everything"은 Voidtools에서 개발한 유명한 Windows용 파일 이름 검색 엔진의 이름이다. 


이 유틸리티는 가볍고 빠르며 최소한의 시스템 리소스를 사용하고 실시간 업데이트를 지원한다.


Mimic 랜섬웨어는 감염 단계에서 드롭된 'Everything32.dll' 형식의 Everything 검색 기능을 사용하여 손상된 시스템의 특정 파일 이름과 확장자를 쿼리한다.


모든 기능을 사용하면 Mimic이 잠긴 경우 시스템을 부팅할 수 없게 만드는 시스템 파일을 피하면서 암호화에 유효한 파일을 찾는 데 도움이 된다.


 

Fucntion that utilizes the Everything API

 

[그림 3. Everything API를 활용하는 기능]

 

 

Mimic으로 암호화된 파일은 ".QUIETPLACE" 확장자를 갖는다. 


공격자의 요구 사항과 비트코인으로 몸값을 지불한 후 데이터를 복구할 수 있는 방법을 알려주는 랜섬 노트가 나타난다.

 

 

Mimic ransomware note

 

[그림 4. Mimic 랜섬 노트]

 


Mimic은 아직 검증되지 않은 활동이 있는 새로운 변종이지만 Conti 빌더와 Everything API를 사용하면 저자가 목표를 달성할 수 있는 방법을 명확하게 이해하고 있는 유능한 소프트웨어 개발자임을 증명한다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/new-mimic-ransomware-abuses-everything-windows-search-tool/