미믹 랜섬웨어, ‘Everything’ API를 사용하여 영어 및 러시아어 Windows 사용자 타겟팅

트렌드 마이크로의 보안 연구원들이 새로운 랜섬웨어를 발견했습니다. 연구원들은 이를 미믹(Mimic)이라고 명명했으며, 이 랜섬웨어는 Windows용 Everything 파일 검색 도구의 API를 이용하여 암호화할 파일을 검색합니다.

‘미믹’은 작년 6월에 발견되었으며, 이 랜섬웨어는 러시아어 및 영어를 사용하는 사용자들을 타겟으로 하는 것으로 보입니다.

트렌드 마이크로의 보안 연구원들은 미믹의 일부 코드와 2022년 3월 우크라이나 연구자에 의해 소스 코드가 유출된 콘티 랜섬웨어(Condi) 간의 유사성을 발견했습니다.

여러분이 짐작했듯이, 콘티는 데이터 암호화 속도와 다른 시스템으로의 확산 속도 때문에 매우 위험한 랜섬웨어입니다.

이 랜섬웨어는 러시아에 기반을 둔 사이버 범죄자들이 마법사 거미(Wizard Spider)라는 가명을 사용하여 지원하고 있는 것으로 추정됩니다. 이 러시아 그룹은 피싱 공격을 수행하여 TrickBot 및 Bazarloader 악성코드를 설치하여 감염된 장치에 원격 액세스를 얻습니다.

콘티에 대해 알게 되었으니, 이제 미믹이 어떻게 작동하는지 살펴보겠습니다. 미믹 랜섬웨어는 타겟이 실행 파일을 수신한 후 공격을 시작하며, 이는 이메일을 통해 전달되며, 타겟 시스템에 보조 파일, 주요 페이로드 및 Windows Defender를 중지하는 메커니즘을 포함한 네 개의 파일을 추출합니다.

그로 인해 미믹은 파일 타겟팅을 좁히기 위해 명령줄 인수를 지원하는 유연한 랜섬웨어입니다. 또한 데이터 암호화 프로세스를 가속화하기 위해 여러 프로세서 스레드를 사용할 수 있습니다.

연구원들은 현재의 랜섬웨어에서 발견되는 여러 기능을 미믹에서 발견했습니다. 이러한 기능에는 다음이 포함됩니다:

• 사용자 정보 수집
• 사용자 계정 제어 우회
• 종료 방지 조치 활성화
• 프로세스 및 서비스 종료
• 실행 키를 통한 지속성 생성
• 시각적 드라이버 분리
• Windows 원격 측정 비활성화
• 수면 모드 및 종료 비활성화
• 지표 제거
• 시스템 복구 방해

프로세스 및 서비스를 종료함으로써 데이터 보호 절차를 비활성화하고 데이터베이스 파일과 같은 귀중한 데이터를 확보하여 암호화할 수 있도록 합니다.

모르는 분들을 위해, Everything은 Windows용 파일 이름 검색 엔진으로 최소한의 자원을 사용하며 가볍습니다. 새로운 랜섬웨어는 감염 단계에서 특정 이름과 확장을 쿼리하기 위해 Everything32.dll 형식의 Everything 검색을 사용합니다.

파일 검색 엔진은 랜섬웨어가 암호화에 유효한 파일을 찾는 데 도움을 주며, 동시에 잠기면 시스템을 무력화할 시스템 파일을 피합니다.

그 후, 미믹에 의해 암호화된 파일은 ‘QUITEPLACE’ 확장을 가지며, 그와 함께 피해자에게 이를 알리는 랜섬 메시지가 손상된 머신에 표시됩니다.

현재 랜섬웨어와 관련된 활동은 없지만, 공격자들이 자신들이 하는 일을 알고 있다는 것을 증명하는 콘티 랜섬웨어와의 코드 유사성이 있습니다.

읽기: 공격자들이 OneNote 첨부 파일을 남용하여 RAT 악성코드를 퍼뜨리다