1. 개요

- 미국 CISA, FBI, MS-ISAC와 여러 국가의 사이버 보안 그룹이 LockBit 랜섬웨어 관련 분석 및 보안권고 발표

- 공격자는 LockBit을 사용해 다양한 주요 인프라 분야를 지속적으로 공격

> 금융, 식품 및 농업, 교육, 에너지, 정부 및 응급 서비스, 의료, 제조 및 운송 등

> 20년 이후 약 1,700건의 공격 시도, 69건의 침해사고, 1,653명의 피해 확인

- 변종을 개발하여 고도화하고, RaaS(Ransomware-as-a-Service)를 지원해 랜섬웨어 배포

> 20년 이후 72건의 변종 발견

 

2. 주요내용

- 내부망 침입을 위해 합법적인 사용을 목적으로 하는 여러 프리웨어 및 오픈 소스 도구 활용

> 용도를 변경하여 네트워크 정찰, 원격 액세스 및 터널링, 자격 증명 덤프, 파일 유출 등에 악용

구분 도구명 사용 목적 LockBit 그룹 사용 목적
정보수집 AdFind AD(Active Directory)를 검색 및 정보 수집 AD 정보를 수집하여 권한 확대 및 네트워크 이동
Advanced 
Internet Protocol (IP) 
Scanner		 네트워크 스캔 후 네트워크 장치 표시 잠재적인 액세스 벡터를 식별하기 위해 피해자의 네트워크를 매핑
Advanced
Port
Scanner		 네트워크 스캔 공격에 사용할 TCP/UDP 포트 검색
Bloodhound 공격 경로 관리를 위한 AD 정찰을 수행 네트워크 액세스 권한을 얻기 위해 악용될 수 있는 AD 관계를 식별
Seatbelt 여러 보안 지향 검사 수행 보안 지향 검사 수행해 시스템 정보 나열
SoftPerfect
Network 
Scanner		 시스템 관리를 위해 네트워크 스캔을 수행 시스템 및 네트워크 정보 획득
원격접근 AnyDesk 원격 접속 프로그램 네트워크 장치 원격 제어
Atera 
Remote Monitoring 
& Management
(RMM)		 네트워크 장치에 대한 원격 연결 활성화 네트워크 장치 원격 제어 네트워크 장치 원격 제어
Ligolo 펜 테스트를 위해 SOCKS5 또는 TCP 터널을 역방향 연결에서 설정 역방향 터널링을 통해 피해자 네트워크 내의 시스템에 연결
Ngrok 인터넷을 통한 터널링을 통해 로컬 웹 서버에 원격 접근 인터넷을 통해 시스템에 터널링하여 네트워크 보호를 우회
ScreenConnect 
(또는 ConnectWise)		 네트워크 장치에 대한 원격 연결 활성화 시스템 원격 연결
Splashtop 네트워크 장치에 대한 원격 연결 활성화 시스템 원격 연결
TeamViewer 네트워크 장치에 대한 원격 연결 활성화 시스템 원격 연결
ThunderShell HTTP 요청을 통한 원격 액세스 네트워크 트래픽을 암호화하면서 원격으로 시스템 접근
자격 증명
정보 수집		 ExtPassword Windows 시스템에서 암호 복구 네트워크 액세스 및 자격 증명 획득
LaZagne 여러 플랫폼에서 시스템 암호를 복구 시스템 및 네트워크 액세스를 위한 자격 증명 수집
LostMyPassword Windows 시스템 암호 복구 네트워크 액세스 및 자격 증명 수집
Microsoft 
Sysinternals 
ProcDump		 중앙 처리 장치(CPU) 스파이크에 대한 애플리케이션을 모니터링하고 스파이크 중에 크래시 덤프를 생성 LSASS(Local Security Authority Subsystem Service)의 콘텐츠를 덤프하여 자격 증명 획득
Mimikatz 시스템에서 자격 증명 추출 네트워크 액세스 권한을 얻고 시스템을 악용하기 위해 자격 증명 추출
PasswordFox Firefox 브라우저 암호 복구 네트워크 액세스 및 자격 증명 수집
권한 상승 AdvancedRun 다른 설정으로 소프트웨어 실행 소프트웨어 실행 전 설정 변경을 통해 권한 상승 활성화
네트워크 이동 Impacket 네트워크 프로토콜 작업을 위한 Python 클래스 모음 네트워크 이동 활성화
공격 파일 유포 Chocolatey Microsoft Windows에서 명령줄 패키지 관리 LockBit 그룹 도구 설치에 활용
시스템제어 Microsoft
Sysinternals
PsExec		 원격 시스템에서 명령줄 프로세스를 실행 시스템 제어
탐지우회 7-zip 파일을 아카이브로 압축 유출 전에 감지되지 않도록 데이터 압축
Backstab 맬웨어 방지 프로그램 EDR로 보호되는 프로세스를 종료
Bat Armor PowerShell 스크립트를 사용해 .bat 파일을 생성 PowerShell 실행 정책 우회
Defender 
Control		 Microsoft Defender를 비활성화 Microsoft Defender 우회
GMER 루트킷 제거 EDR 소프트웨어 종료하고 제거
PCHunter 시스템 프로세스 및 커널을 포함한 고급 작업 관리를 활성화 EDR 프로세스 종료 및 우회
PowerTool 루트킷을 제거하고 커널 구조 수정을 감지, 분석 및 수정 EDR 소프트웨어 종료 및 제거
Process 
Hacker		 루트킷 제거 EDR 소프트웨어 종료 및 제거
PuTTY Link (Plink) Windows SSH(Secure Shell) 작업 자동화 탐지 우회
TDSSKiller 루트킷 제거 EDR 프로세스 종료 및 제거
데이터 유출 FileZilla 플랫폼 간 파일 전송 프로토콜(FTP) LockBit 그룹으로 데이터 유출
FreeFileSync 클라우드 기반 파일 동기화 지원 데이터 유출을 위한 클라우드 기반 파일 동기화
MEGA Ltd MegaSync 클라우드 기반 파일 동기화 지원 데이터 유출을 위한 클라우드 기반 파일 동기화
Rclone 클라우드 저장소 파일을 관리 클라우드 스토리지를 통한 데이터 유출
WinSCP Microsoft Windows용 SSH 파일 전송 프로토콜을 사용하여 파일 전송 SSH 파일 전송 프로토콜을 통해 데이터 유출

 

- 기존 RCE 취약점 및 새로운 취약점 악용

구분 CVE CVSS 설명
신규 취약점 CVE-2023-0669 7.2 Fortra GoAnyhwere Managed File Transfer(MFT) 원격 코드 실행 취약점
CVE-2023-27350 9.8 PaperCut MF/NG 부적절한 접근 제어 취약점
기존 취약점 CVE-2021-44228 10.0 Apache Log4j2 원격 코드 실행 취약점
CVE-2021-22986 9.8 F5 BIG-IP 및 BIG-IQ 원격 코드 실행 취약점
CVE-2020-1472 10.0 NetLogon 권한 상승 취약점
CVE-2019-0708 9.8 Microsoft 원격 데스크톱 서비스 원격 코드 실행 취약점
CVE-2018-13379 9.8 Fortinet FortiOS SSL VPN 경로 우회 취약점

 

3. 권고사항

- 관리자 계정 지속적 모니터링 및 감사

- 원격 접근 방지를 위한 망분리 및 서비스 계정 제한 (권한, 세션 시간 제한 등)

- 확산 방지를 위한 업무별 중요도 파악 및 네트워크 분할

- 탈취 계정 사용 방지를 위한 비밀번호 변경 및 MFA 활성화

- 잘못된 AD 보안 구성이 있는지 지속적 점검

- 교육을 통한 임직원 보안 인식 제고 및 향상

 

4. 참고

[1] https://www.cisa.gov/news-events/news/us-and-international-partners-release-comprehensive-cyber-advisory-lockbit-ransomware
[2] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

'랜섬웨어 > 분석' 카테고리의 다른 글

다크파워 (Dark Power) 랜섬웨어  (1) 2023.03.28
ESXiArgs Ransomware  (0) 2023.02.15
Masscan 랜섬웨어  (0) 2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04

1. 카딩 서비스 바이든캐시(BidenCash), 전세계 신용카드 정보 200만건 이상 공개

1. 개요

- 카딩 서비스를 제공하는 바이든캐시에서 260MB의 데이터를 무료 공개

※ 카딩 서비스: 불법 또는 도난 당한 카드 정보를 거래 및 무단 사용을 용이하게 하는 사이버 범죄 웹사이트

- 바이든캐시는 22.10월에도 약 120만건의 카드정보를 공개했으며, 국내 카드정도보 포함되어 있음

2. 주요내용

- 공개된 데이터는 약 220만건으로, 카드정보개인정보를 포함

- 카드정보: 카드번호, 유효기간, CVV 번호 등

- 개인정보: 카드 소유자 이름, 이메일, 전화번호, 주소 등

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

※ FDS(Fraud Detection System):  전자 금융 거래에서 다양하게 수집된 정보를 종합적으로 분석해 의심거래를 탐지하고 이상금융거래를 차단하는 시스템

 

2. 현대카드 카드정보 유출

1. 개요

- 현대카드에서 일부 회원들에게 ‘[현대카드] 카드정보 유출 관련 안내’ 메일 발송

- 최근 신용카드 카드정보가 일부 온라인 쇼핑몰이나 해외 직구사이트에서 불법 유통되고 있음이 확인

2. 주요내용

- 카드사에서 유출된 것이 아니며, 온라인 쇼핑몰에 피싱 결제 페이지를 삽입하는 해킹 수법을 통해 진행된 것으로 추정

- 카드정보: 카드번호, 유효기간, CVC, 비밀번호 2자리

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

- 안내 메일을 참고하여 카드 재발급 신청

 

3. 다크웹에 '업카' 회원 정보 유출

1. 개요

- 박차컴퍼니에서 운영하는 중고차 거래 플랫폼 업카의 회원정보가 다크웹에 유출

- 현대캐피탈과 제휴하여 운영중인 플랫폼

2. 주요내용

- 해킹포럼에 1만6000명여건의 정보를 갖고 있다고 주장하며, 데이터를 판매한다는 게시글이 업로드

- 박차 홈페이지 게시글 "[공지] 박차컴퍼니 해킹에 대한 후속조치 보고서"에 따르면 SQL Injection 공격으로 데이터 탈취 발생

- 게시정보: 담당자명, 업체 주소, 이메일주소, 전화번호, 팩스정보, 사업자번호, 법인번호, 환불계좌

3. 대응방안

- SQL Injection뿐만 아니라 전반적인 웹 해킹을 대응하기 위한 보안 규정 준수 및 모니터링 강화

 

4. Lockbit 랜섬웨어 국세청 해킹 주장

1. 개요

- 23.03.29 Lockbit 랜섬웨어 조직은 자신들의 사이트에 국세청 해킹 언급

2. 주요내용

- 23.04.01 오후 8시 유출 데이터 공개 예고

- 국세청 전산 관련 부서는 시스템 등을 점검했으나 외부 해킹 흔적을 발견하지 못하였으며, 락빗은 국세청에 금품 등 대가를 요구한 것도 없었음

3. 대응방안

- 랜섬웨어 대응 방안 준수 및 모니터링 강화

 

5. 쿠팡 개인정보 유출

1. 개요

- 23.01.25 다크웹 해킹포럼 누리집에 쿠팡 거래 정보 판매글 게시

2. 주요내용

- 쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출

- 유출정보: 이름, 주소, 전화번호, 상품 거래 정보 등

- 쿠팡이 아닌 오픈마켓 셀러가 주문한 고객 정보를 배송업체에 전달하는 과정에서 일부 정보가 유출된 것으로 판단

※ 쿠팡 입장: 고객이 동의하면 고객 정보가 오픈마켓 판매자에게 이전되는 '개인정보 제3자 제공동의'(개인정호보호법)에 의거 국내 오픈마켓 쇼핑몰 고객 정보는 해당 판매자가 정보 관리를 책임지며, 대부분의 오픈마켓 판매자가 영세하다 보니 관리나 신고가 미흡한 경우가 많음

- 23.03.21 쿠팡은 입장 자료를 통해 "수차례 조사를 통해 다시 한번 확인한 결과 그러한 사실이 전혀 없다" 발표

※ 쿠팡 입장: 개인정보보호위원회: 유출사고 사실관계 확인 중

3. 대응방안

- 해킹 관련 대응 방안 준수 및 모니터링 강화

 

6. 해외사례

- 인도 최대 민간 은행인 HDFC은행(HDFC Bank)의 자회사로부터 7.5GB, 7300만 건의 데이터를 훔쳐내 공개

※ 유출정보: 이름, 생년월일, 전화번호, 이메일 주소, 대출 세부 정보, 거래 관련 정보 등

 

7. 참고사항

- 금융사에서는 2차 피해 예방을 위한 조치 필요 - FDS 등 모니터링

- 랜섬웨어, 공급망 공격 등에 대한 대응방안 모색 필요

'개인정보보호(법) > DDW' 카테고리의 다른 글

DDW 동향  (1) 2024.02.08
DDW 동향  (0) 2023.12.13
DDW 동향  (0) 2023.07.31
DDW 동향  (0) 2023.06.29
DDW 동향  (0) 2023.05.11
개요 - 록빗 내 개발자로 보이는 인물이 파일을 암호화 하는 인크립터의 코드를 공개
- 가장 최신 버전인 록빗 3.0(LockBit 3.0) 혹은 록빗블랙(LockBit Black) 공개
- 현재 이 인크립터 코드는 깃허브를 통해 열람이 가능

<록빗>
- 2019년 최초 등장 후 현재 가장 세력이 큰 랜섬웨어 조직
- 2022년 상반기 록빗 관련 공격사례 1843건이며, 1월~5월 발생한 록빗 2.0이 전체 랜섬웨어 공격의 46%를 차지
영향 - 유출된 코드를 분석했을 때 진짜 록빗 3.0의 구성 요소가 맞으며, 록빗 운영자들도 소셜미디어를 통해 유출된 빌더가 자신들이 사용해 오던 정상 빌더라고 밝힘
- 누구나 조금의 코딩 지식만 있으면 랜섬웨어를 만들 수 있음 (복호화를 위한 키 생성기도 포함되어 있음)
- 비슷하거나 새로운 멀웨어의 출현하는 부정적 영향과 동시에 해당 코드를 분석해 랜섬웨어를 막는 방법이 개발되거나 중요 정보를 추출될 수 있는 긍정적 영향이 공존

 

- 보안뉴스

 

랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼

랜섬웨어 조직들이 기업화 됨에 따라 보다 강력해지고 있기도 하지만 일반 기업들이 겪는 어려움을 똑같이 겪고 있기도 하다. 바로 불만을 품은 직원들이 일탈 행위를 하는 것이다. 우리는 그것

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

매그니베르 랜섬웨어, 윈도 MOTW 우회해 타이포스쿼팅 방식 유포  (1) 2022.11.08
11월 1일로 패치가 예고된 오픈SSL 취약점, 어쩌면 제2의 하트블리드  (0) 2022.10.31
페이스북 ‘메타’와 ‘구글’에 개인정보보호법 위반 과징금 1,000억 부과  (0) 2022.09.18
무작위 대입, 채굴 악성코드 등 해커 공격에 SSH 서비스 ‘몸살’  (0) 2022.09.18
[긴급] 웹하드에서 게임설치 파일 위장한 모네로 코인 마이너 악성코드 유포중  (0) 2022.08.02

+ Recent posts

티스토리툴바