업그레이드 되어 돌아온 블랙바스타 랜섬웨어, 그런데 랜섬웨어는 없다?

https://www.boannews.com/media/view.asp?idx=135115

업그레이드 되어 돌아온 블랙바스타 랜섬웨어, 그런데 랜섬웨어는 없다?

새로운 캠페인도 시작에 있어서는 기존 캠페인과 비슷하다는 게 라피드7의 설명이다. “공격자는 먼저 피해자들에게 이메일 폭탄을 보냅니다. 아주 많은 이메일이 피해자의 메일함에 도착하게 되며, 이 때문에 피해자들은 메일을 정상적으로 사용하기 어려워집니다. 그럴 때 공격자들은 피해자에게 접근하는데, 주로 MS 팀즈를 통해서 합니다. 일부 전화를 걸거나 문자 메시지를 보내는 경우도 있습니다. 접근하는 목적은 ‘지금 이메일에 문제가 생겼는데 내가 도움을 줄 수 있다’며 피해자를 꼬드기기 위해서입니다. 주로 피해자가 속한 회사의 IT 지원팀을 사칭하기 때문에 피해자가 속기 쉽습니다.”

이런 시도에 속아 피해자가 반응을 보이기 시작하면 공격자는 다음 단계의 작업에 착수한다. 원격 관리 도구를 설치하게 하는 것이다. 퀵어시스트(QuickAssist), 애니데스크(AnyDesk), 팀뷰어(TeamViewer), 레벨(Level), 스크린커넥트(ScreenConnect) 등 합법적인 도구들이 소개되니 피해자들로서는 의심하기 힘들다. “하지만 그게 전부가 아닙니다. 오픈SSH(OpenSSH) 클라이언트를 악용해 리버스셸을 설정하기도 했고, 큐알코드를 공유하기도 했습니다. 사용자의 크리덴셜을 확보해 다중인증 메커니즘을 통과하려 한 것으로 추정됩니다.”

 

 

이런 목적을 달성하기 위해 블랙바스타는 여러 도구와 멀웨어를 사용하기도 했는데, 그 중 대표적인 건 다음과 같다.
1) 크리덴셜 수집기
2) 지봇(Zbot) : 일종의 멀웨어 로더
3) 다크게이트(DarkGate) : 일종의 멀웨어 로더
4) 코발트스트라이크의 비컨(Cobalt Strike Beacon)
5) 멀티스레드 비컨 : 파워셸을 원격에서 실행하는 기능

여기까지 보면 이상한 점이 존재한다. 랜섬웨어 단체인데 랜섬웨어 페이로드를 이용하지 않고 있다는 것이다. “랜섬웨어 공격자들이 빠르게 진화하고 있는데, 그 방향성을 엿볼 수 있습니다. 일단 합법적이고 정상적인 도구들을 적극 활용한다는 겁니다. 그게 아니더라도, 합법적으로 보이도록 도구를 위장시킨다는 걸 알 수 있습니다. 또 랜섬웨어 공격자들임에도 랜섬웨어로 피해자를 곤란하게 하는 것보다 정보 탈취에 더 힘을 주고 있다는 것도 눈에 띕니다.”

 

ㄷㄷㄷ 합법적인 도구를 활용해서 더 교묘하게한다... 컴퓨터 고장나게 하는 그런게 아니라

정말 '정보'만 탈취해가는 방법이라 ㄹㅇ 후에 더 멘탈나가는 방식인듯..무섭다 무서워