새로운 연구에 따르면 한 사이버 범죄자 단체가 상용 악성코드와 공격 도구를 사용하여 계열사에 랜섬웨어를 배포하는 업무를 점점 더 아웃소싱하고 있다.
Sophos가 게시한 새로운 분석에서, 최근 Ruk과 Egregor 랜섬웨어 배포에 SystemBC 백도어를 사용하여 네트워크를 이동하고 추가 공격을 위한 페이로드를 가져오는 것이 포함되어 있다.
계열사는 일반적으로 대상 네트워크에서 초기 발판을 확보하는 데 책임이 있는 위협 행위자이다.
Sophos 수석 위협 연구원 Sean Gallagher는 "SystemBC는 최근 랜섬웨어 공격자들의 툴킷의 단골 부품이다."
"백도어는 다른 스크립트 및 멀웨어와 함께 사용하여 여러 대상에서 자동으로 발견, 유출 및 횡방향 이동을 자동으로 수행할 수 있다. 이러한 SystemBC 기능은 원래 대량 악용를 위한 것이었지만, 이제는 랜섬웨어를 포함한 표적 공격을 위한 툴킷으로 통합되었다." 라고 말했다.
2019년 8월 Proofpoint에서 처음 문서화된 SystemBC는 SOCKS5 인터넷 프로토콜을 활용하여 C2(명령 및 제어) 서버로 트래픽을 마스킹하고 DanaBot 뱅킹 트로이 목마를 다운로드하는 프록시 악성코드다.
[그림1. SystemBC 악성 코드]
그 이후로 SystemBC RAT는 Tor 연결을 사용하여 C2 통신의 대상을 암호화하고 숨길 수 있도록 하는 새로운 특성으로 도구 세트의 폭을 넓혔으며, 따라서 공격자들에게 다른 공격을 개시할 수 있는 지속적인 백도어를 제공한다.
SystemBC가 는 종종 CobaltStrike와 같은 다른 공격 도구와 함께 수많은 랜섬웨어 공격에 사용되어 왔으며, 익명 연결을 통해 서버가 보낸 악의적인 셸 명령, VBS 스크립트 및 기타 DLL Blob을 구문 분석하고 실행하는 Tor 프록시 및 원격 액세스 기능을 활용한다.
또한 SystemBC는 Buer Loader, Zloader 및 Qbot과 같은 악성 코드 로더를 제공하는 피싱 이메일의에서 비롯된 초기 손상의 결과로 배포되는 많은 범용 도구 중 하나일 뿐이며, 이로 인해 연구자들은 랜섬웨어 운영자 또는 여러 서비스로서의 멀웨어(malware-as-a-service) 공급자를 통해 랜섬웨어 조직 자체에 의해 공격이 시작되었을 수 있다고 추측한다.
연구자들은 "이러한 기능을 통해 공격자는 키보드 없이도 패키지화된 스크립트와 실행 파일을 사용하여 탐색, 필터링 및 측면 이동을 수행할 수 있는 포인트 앤 샷 기능을 제공할 수 있습니다."라고 말했다.
상용 악성코드의 증가는 MountLocker의 경우처럼 운영 업체가 최소한의 노력으로 랜섬웨어를 배포하기 위해 제휴사에 이중 착취 기능을 제공하는 것과 같이 랜섬웨어가 계열사에 서비스로 제공되는 새로운 추세를 가리키고 있다.
Gallagher는 "서비스형 랜섬웨어 공격에 여러 도구를 사용하면 IT 보안 팀이 예측하고 대처하기가 훨씬 더 어려운 다양한 공격 프로필을 만들 수 있습니다."
"그런 공격을 탐지하고 차단하기 위해서는 심층방어, 직원 교육, 인간 기반 위협 사냥이 필수적입니다."라고 덧붙였다.
출처
https://thehackernews.com/2020/12/ransomware-attackers-using-systembc.html
