선인장 랜섬웨어, VPN 취약점을 이용해 대기업을 타겟으로 삼다

새로운 랜섬웨어 활동인 선인장(Cactus)이 등장하여 대기업의 네트워크에 초기 접근하기 위해 가상 사설망(VPN)의 취약점을 이용하고 있습니다. 선인장 랜섬웨어는 최소한 3월부터 활동을 시작했으며, 피해자로부터 막대한 금액을 갈취하려 하고 있습니다.

현재 공격자들은 파일 암호화 및 데이터 도용과 같은 일반적인 랜섬웨어 기법을 사용하고 있지만, 탐지를 피하기 위해 자신만의 방식을 추가했습니다. 리스크 컨설팅 회사 Kroll의 보안 연구원들은 이 랜섬웨어가 Fortinet의 VPN 기계에서 알려진 취약점을 이용해 초기 접근을 얻는다고 생각하고 있습니다.

모든 조사된 사건에서 공격자가 VPN 서버 VPN 서비스 계정에서 내부로 침투했다는 관찰에 기반한 평가입니다. 선인장이 다른 활동과 구별되는 점은 랜섬웨어 바이너리를 보호하기 위해 암호화를 사용한다는 점이며, 위협 행위자들은 7-Zip을 사용하여 암호화기 바이너리를 얻기 위해 배치 스크립트를 활용합니다.

그 후, 원래의 7-Zip은 제거되고, 특정 플래그와 함께 바이너리가 배포되어 실행할 수 있게 됩니다. 전체 절차는 비정상적이며, 연구자들에 따르면 이는 랜섬웨어 암호화기의 탐지를 방지하기 위해 수행됩니다.

Kroll의 기술 보고서에서 위협 연구원들은 실행 방법이 세 가지가 있으며, 각각은 특정 명령줄 스위치를 사용하여 선택된다고 언급합니다: setup (-s), read configuration (-r), 및 encryption (-i).

-s 및 -r 인자는 공격자가 지속성을 설정하고 암호화기가 실행될 때 읽는 C:\ProgrammeData\ntuser.dat 파일에 데이터를 유지할 수 있게 해줍니다. 파일 암호화가 작동하려면 공격자만 알고 있는 고유한 AES 키가 -i 명령줄 인수를 통해 제공되어야 합니다.

읽기: LOBSHOT 맬웨어, 진짜 원격 관리 소프트웨어를 가장하여 Google Ads를 통해 확산

키는 랜섬웨어 구성 파일을 복호화하는 데 필수적이며, 파일을 암호화하는 데는 공개 RSA 키가 필요합니다. 이는 암호화기 바이너리에 하드코딩된 HEX 문자열로 제공되며, HEX 문자열을 디코딩하면 AES 키로 잠금을 해제할 수 있는 암호화된 데이터 조각이 생성됩니다.

Kroll의 사이버 리스크 부문 부이사인 로리 라코노(Laurie Lacono)는 선인장이 본질적으로 스스로를 암호화하여 탐지를 어렵게 하고 안티바이러스 및 네트워크 모니터링 도구를 피하는 데 도움을 준다고 말했습니다.

올바른 키로 -i 암호화 매개변수를 사용하여 바이너리를 실행하면 정보가 잠금 해제되고, 이후 맬웨어가 파일을 검색하고 다중 스레드 암호화 절차를 시작할 수 있게 됩니다. 선인장 바이너리 실행 프로세스는 선택된 매개변수에 따라 진행됩니다.

또한, 랜섬웨어 전문가인 미카엘 질레스피(Micheal Gillespie)는 선인장이 데이터를 암호화하는 방법을 조사하고 Bleeping Computer에 맬웨어가 처리하는 데이터에 따라 여러 파일 확장자를 사용한다고 말했습니다.

암호화를 위해 파일을 준비하면서 맬웨어는 확장자를 .CTSo로 변경하고, 암호화 후에는 확장자가 .CTS1로 바뀝니다. 그러나 미카엘에 따르면, 맬웨어는 또한 빠른 모드를 가지고 있으며, 이는 가벼운 암호화 패스를 의미합니다.

선인장을 정상 및 빠른 모드로 연속 실행하면 동일한 파일이 두 번 암호화되고 매 프로세스 후에 새로운 확장자가 추가됩니다. 예를 들어 .CTS1, CTS17와 같은 형식입니다. Kroll의 관찰에 따르면, .CTS 확장자 끝의 숫자는 선인장 맬웨어에 의해 발생한 여러 사건에서 다양하게 나타났습니다.

네트워크에 침투한 후, 위협 행위자들은 SSH 잠금문을 사용하여 지속적인 접근을 위해 예약된 작업을 사용합니다. Kroll의 조사에 따르면, 선인장은 SoftPerfect 네트워크 스캐너를 이용하여 네트워크에서 흥미로운 대상을 찾습니다.

더 깊은 관찰을 위해 공격자는 PowerShell 명령을 사용하여 엔드포인트를 나열하고, Windows 이벤트 뷰어에서 성공적인 로그인 기록을 확인하여 사용자 계정을 식별하며, 원격 호스트에 핑을 보냅니다.

읽기: 악성 추출기, 미국 및 유럽에서 혼란을 일으키는 데이터 도난 도구

이 외에도 보안 연구원들은 맬웨어가 nmap 네트워크 스캐너와 동일한 PowerShell 수정 버전인 오픈 소스 Psnmp 도구를 사용하고 있음을 발견했습니다.

선인장은 공격에 필요한 다양한 도구를 정품 도구를 통해 실행하기 위해 여러 원격 방법을 시도합니다. 예를 들어 AnyDesk, SuperOps RMM, Cobalt Strike 및 Go 기반 프록시 도구인 Chisel과 함께 사용됩니다. Kroll의 연구원들은 기계에서 권한을 상승시킨 후, 맬웨어 운영자가 가장 일반적으로 사용되는 안티바이러스 제품을 제거하는 배치를 실행한다고 말합니다.

대부분의 랜섬웨어 활동과 마찬가지로 선인장도 피해자로부터 민감한 정보를 도용합니다. 이 과정에서 위협 행위자들은 Rclone 도구를 사용하여 파일을 클라우드 스토리지로 직접 전송합니다.

데이터를 유출한 후, 공격자는 TotalExec라는 PowerShell 스크립트를 사용하여 암호화 프로세스를 자동화합니다. 선인장 랜섬웨어 공격의 암호화 루틴은 독특합니다.

그럼에도 불구하고 이 과정은 선인장에만 국한되지 않는 것처럼 보이며, 최근 블랙바스타 랜섬웨어 그룹에서도 유사한 암호화 프로세스가 사용된 것으로 알려졌습니다.

공격자들이 피해자의 데이터를 도용하지만, 공격자들이 일반적으로 이중 강탈에 연루된 다른 랜섬웨어 활동과는 달리 유출된 웹사이트를 설정하지 않은 것으로 보입니다.

현재 선인장이 요구하는 랜섬에 대한 정보는 없지만, 보고서에 따르면 수백만 달러에 달하는 것으로 보입니다. 공격자들은 피해자에게 랜섬을 지불하지 않으면 도난당한 데이터를 공개하겠다고 위협합니다.

또한, 공격자의 공격은 지금까지 Fortinet VPN 장비의 취약점을 이용했으며, 민감한 데이터를 암호화하기 전에 도용하는 이중 표준 이중 강탈 접근 방식을 따랐다는 것이 분명합니다.

읽기: 원격 접근 맬웨어로 미국 납세자를 겨냥한 피싱 사기