JS 파일로 유포되는 BlueCrab 랜섬웨어, 유포 중단?

JS 파일 형태로 유포되는 BlueCrab(Sodinokibi, REvil) 랜섬웨어가 2021.07.13부터 유포가 중지되었다. 그간 일정 기간 유포를 중단한 이후 변형을 만들어 유포하던 이력이 다수 존재하지만 이처럼 장기간 동안 유포를 중단한 사례는 없었다.

BlueCrab 랜섬웨어는 파일 다운로드를 위장한 포럼 페이지를 통해 유포되며, JS 파일을 다운로드받아 실행 시 C2를 통해 다운로드되는 스크립트가 실행되며 랜섬웨어에 감염되는 구조이다.

국내 사용자를 타겟으로 하며 자사 AV 제품을 겨냥한 꾸준한 변형을 만들어왔기 때문에 중점 모니터링 대상이었다. 이에 ASEC 분석팀에서는 자동화된 모니터링 시스템을 구축하여 변형 발생 시 빠르게 대응하고 있으며 본 블로그에서도 이와 관련한 다양한 정보를 다수 게시한 바 있다.

이러한 BlueCrab 랜섬웨어 유포는 2021.07.13 이후로 악성 페이지로의 리디렉션이 이루어지지 않고 있다. 때문에 악성 게시글 접속 시 기존과는 다르게 게시글 본문이 그대로 출력된다.

마지막 유포일 샘플을 기준으로, 현재 C2에서는 아무런 응답이 없으며, 감염 시 확인 가능한 랜섬 페이지 또한 연결이 불가능한 상황이다. 랜섬 페이지 도메인 중 onion 도메인이 아닌 “decoder.re” 또한 현재 DNS 쿼리에 응답이 없다.

해외에서도 최근 발생한 미국 기업 공급망 공격 및 랜섬웨어 감염 사건 발생 이후 다크웹 상에서 BlueCrab(REvil) 랜섬웨어와 관련된 웹 페이지가 모두 셧다운 되었다고 보도하는 가운데, 본 유포 중단 상황도 이와 연관이 있을 것으로 추정되는 부분이다.

다만 공격자가 정상 웹 서버를 탈취하여 개시해 놓은 수 만개의 악성 게시글은 그대로 남아있는 상태이기 때문에 언제든 유포가 다시 시작될 수 있음에 주의해야 한다.

지난 약 1년 간의 진단 로그를 분석한 결과 많이 탐지되는 키워드는 다음과 같다. 사용자는 주로 게임, 유틸리티 등을 다운받으려다 랜섬웨어 파일을 다운받게된다. BlueCrab 유포는 현재 중단된 상태이지만, 이와 비슷한 방식으로 유포되는 악성코드 유포 사례가 늘고 있으므로 사용자의 주의가 필요하다.

마인크래프트 정품 무료,로블록스 핵,슈퍼 버니맨 무료,마크 포켓몬 모드,캐논 서비스 툴,아이작 최신버전,키뷰어,마인크래프트 포트마이너,천재교육 교과서 pdf,윈도우7 professional k iso,곰플레이어 통합 코덱,지오메트리대쉬 2.0 pc,바인딩 오브 아이작 애프터버스 플러스,miplatform activex,키즈짱 시장놀이,마인크래프트 점프맵,한쇼 파워포인트,철권7 무료,lg 스마트체 ttf,윈도우 10 어도비 플래시 수동,마인크래프트 도시맵,스팀 게임 무료,구글 스케치업 무료,움직이는 배경화면 무료,스페이스데스크,닌텐도wii 게임,나 혼자만 레벨업 pdf,한글 워드 무료,오토캐드 2019 x force,ddos 공격 프로그램,한글 2010 무료,삼국지11pk 무설치,hevc 코덱,잉크샌즈 보스전,pmbok 한글판 pdf,프레디의 피자가게1,스타크래프트 리마스터 맵,포켓몬스터 알파 사파이어 롬파일,스케치업2017 크랙,리마스터 맵핵,일러스트 무설치,전기 내선규정,자바스크립트로 파일,7080 노래 모음,디스아너드2 한글패치,오토캐드 2014 키젠,심즈4 한글 무료,인디자인 cs6 한글판,윤디자인 무료폰트,

[IOC정보]

  • http[:]//www.archivalladolid.org/web/%ED%95%9C%EA%B8%80-%EC%9B%8C%EB%93%9C-%EB%AC%B4%EB%A3%8C-%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C/
  • http[:]//www.mict.it/?p=14023
  • http[:]//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion
  • http[:]//decoder.re


연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments