랜섬웨어 · 2 min read · Sep 22, 2025

블랙캣 랜섬웨어 그룹, 악성 설치 프로그램을 악성 광고를 통해 배포

보안

트렌드 마이크로의 보안 연구원들은 블랙캣(또는 ALPHV로 알려짐)이 합법적인 WinSCP 파일 전송 앱처럼 보이는 가짜 웹사이트로 사람들을 유인하기 위해 악성 광고 활동을 운영하고 있다는 사실을 발견했습니다. 그러나 악성 코드가 포함된 설치 프로그램을 배포하고 있습니다. 블랙캣은 구글 및 마이크로소프트 빙 페이지에서 이 캠페인을 운영하고 있는 것으로 확인되었습니다.

이 랜섬웨어 그룹은 IT 전문가, 시스템 관리자 및 웹 관리자 장치에 감염될 가능성을 높이기 위해 악성 광고를 유인책으로 사용하여 기업 네트워크에 초기 접근을 시도하고 있습니다.

WinSCP는 무료이며 오픈 소스 SSH 파일 전송 프로토콜, 아마존 S3, WebDAV 및 Windows용 보안 복사 프로토콜(SCP) 클라이언트입니다. WinSCP의 주요 기능은 로컬 장치에서 원격 서버로 파일을 안전하게 전송하는 것입니다.

공격은 사용자가 구글이나 빙에서 WinSCP 다운로드를 검색할 때 시작되며, 그 후 합법적인 WinSCP 다운로드 웹사이트 위에 배치된 악성 결과를 클릭하게 됩니다.

그 후, 대상은 악성 광고를 클릭하여 WinSCP를 통해 자동 파일 전송을 수행하는 방법에 대한 튜토리얼로 안내하는 악성 웹사이트로 이동하게 됩니다.

읽기: 위협 행위자들이 트로이 목마가 포함된 슈퍼 마리오 3 게임 설치 프로그램을 사용하여 악성 코드를 퍼뜨림

블랙캣 랜섬웨어 그룹, 악성 설치 프로그램을 악성 광고를 통해 배포 1

이 웹사이트들은 악성 설치 프로그램을 포함하지 않으며, 구글 및 빙의 악용 방지 크롤러의 탐지를 피하기 위해 방문자를 합법적인 WinSCP의 가짜 유사 사이트로 리디렉션합니다. 이러한 가짜 유사 웹사이트는 목적에 따라 authentic winscp.net 도메인과 유사한 도메인 이름을 가지고 있습니다. 예를 들어 WinSCP(dot)com.

블랙캣 랜섬웨어 그룹, 악성 설치 프로그램을 악성 광고를 통해 배포 2

방문자가 다운로드 버튼을 클릭하면 “setup.exe”와 msi.dll이 포함된 ISO 파일을 받게 됩니다. 첫 번째 파일은 방문자가 실행하도록 유도하고, 두 번째 파일은 실행 파일에 의해 활성화되는 악성 코드입니다.

사이버 보안 회사에 따르면, setup.exe가 실행되면 두 번째 파일인 msi.dll이 파일 전송 앱을 설치하기 위해 합법적인 설치 프로그램의 DLL RCDATA 섹션에서 Python 폴더를 추출하게 됩니다.

블랙캣 랜섬웨어 그룹, 악성 설치 프로그램을 악성 광고를 통해 배포 3

사용자가 이 작업을 수행하면, 트로이 목마가 포함된 python.dll이 설치되고, “C:\Users\Public\Music]python\phthonw.exe”라는 실행 키를 생성하여 지속성을 유지하는 프로세스가 생성됩니다.

실행 파일 phthon.exe는 명령 및 제어 서버 주소와 연결되는 Cobalt Strike 비콘을 포함하는 변경된 불분명한 python310.dll로 이동합니다.

블랙캣 랜섬웨어 그룹, 악성 설치 프로그램을 악성 광고를 통해 배포 4

Cobalt Strike가 피해자의 기계에서 실행되고 있으면, 그들은 더 많은 스크립트를 실행하고 감염을 확산시키기 위한 도구를 얻기가 쉬워집니다.

보안 회사인 트렌드 마이크로는 위협 행위자들이 다음과 같은 도구를 사용하고 있음을 관찰했습니다.

  • Findstr: XML 파일 내에서 비밀번호를 검색하는 데 사용되는 명령줄 도구.
  • AdFind: Active Directory 정보를 검색하는 데 사용되는 명령줄 도구.
  • Accesschk64: 사용자 및 그룹 권한 관찰에 사용되는 명령줄 도구.
  • PowerShell 명령: Zip 파일 추출, 사용자 데이터 수집 및 스크립트 실행에 사용됩니다.
  • Anydesk: 지속성을 유지하기 위해 잘못 사용되는 합법적인 원격 도구.
  • Python 스크립트: LaZagne 비밀번호 복구 도구를 실행하고 Veeam 자격 증명을 얻는 데 사용됩니다.
  • KillAV BAT: 안티바이러스를 비활성화하고 탐지를 피하는 데 사용되는 스크립트.
  • PowerView: Active Directory 관찰 및 열거에 사용되는 스크립트.
  • PsExec, Curl, 및 BitsAdmin: 네트워크 내에서 감염의 측면 이동에 사용되는 모든 도구.
  • PuTTY Secure Copy: 손상된 기계에서 수집된 정보를 외부로 유출하는 데 사용되는 클라이언트.

그것이 전부가 아닙니다. 위협 행위자들은 이러한 모든 도구와 함께 러시아 해킹 포럼에서 판매되는 ED 및 안티바이러스 비활성화 도구인 SPY Termitor도 사용했습니다.

보안 회사의 연구원들은 위에서 언급한 TTPS 감염을 블랙캣 랜섬웨어 그룹과 연결했으며, 그들이 조사한 C2 서버 중 하나에서 Clop 랜섬 파일을 발견했습니다. 이는 이 그룹이 두 개의 랜섬웨어 캠페인에 연루되어 있을 수 있음을 의미합니다.

읽기: 대규모 데이터 유출: 100K 이상의 Chat GPT 계정이 도난당함, 그룹 IB 경고

Share: X/Twitter LinkedIn
#랜섬웨어

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.