JS 파일로 유포되는 BlueCrab 랜섬웨어, 유포 중단?

JS 파일 형태로 유포되는 BlueCrab(Sodinokibi, REvil) 랜섬웨어가 2021.07.13부터 유포가 중지되었다. 그간 일정 기간 유포를 중단한 이후 변형을 만들어 유포하던 이력이 다수 존재하지만 이처럼 장기간 동안 유포를 중단한 사례는 없었다.

BlueCrab 랜섬웨어는 파일 다운로드를 위장한 포럼 페이지를 통해 유포되며, JS 파일을 다운로드받아 실행 시 C2를 통해 다운로드되는 스크립트가 실행되며 랜섬웨어에 감염되는 구조이다.

국내 사용자를 타겟으로 하며 자사 AV 제품을 겨냥한 꾸준한 변형을 만들어왔기 때문에 중점 모니터링 대상이었다. 이에 ASEC 분석팀에서는 자동화된 모니터링 시스템을 구축하여 변형 발생 시 빠르게 대응하고 있으며 본 블로그에서도 이와 관련한 다양한 정보를 다수 게시한 바 있다.

• 새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어
• 지속적으로 탐지 우회를 시도 중인 BlueCrab 랜섬웨어
• BlueCrab 랜섬웨어, 기업 환경에서는 CobaltStrike 해킹툴 설치

이러한 BlueCrab 랜섬웨어 유포는 2021.07.13 이후로 악성 페이지로의 리디렉션이 이루어지지 않고 있다. 때문에 악성 게시글 접속 시 기존과는 다르게 게시글 본문이 그대로 출력된다.

마지막 유포일 샘플을 기준으로, 현재 C2에서는 아무런 응답이 없으며, 감염 시 확인 가능한 랜섬 페이지 또한 연결이 불가능한 상황이다. 랜섬 페이지 도메인 중 onion 도메인이 아닌 “decoder.re” 또한 현재 DNS 쿼리에 응답이 없다.

해외에서도 최근 발생한 미국 기업 공급망 공격 및 랜섬웨어 감염 사건 발생 이후 다크웹 상에서 BlueCrab(REvil) 랜섬웨어와 관련된 웹 페이지가 모두 셧다운 되었다고 보도하는 가운데, 본 유포 중단 상황도 이와 연관이 있을 것으로 추정되는 부분이다.

다만 공격자가 정상 웹 서버를 탈취하여 개시해 놓은 수 만개의 악성 게시글은 그대로 남아있는 상태이기 때문에 언제든 유포가 다시 시작될 수 있음에 주의해야 한다.

지난 약 1년 간의 진단 로그를 분석한 결과 많이 탐지되는 키워드는 다음과 같다. 사용자는 주로 게임, 유틸리티 등을 다운받으려다 랜섬웨어 파일을 다운받게된다. BlueCrab 유포는 현재 중단된 상태이지만, 이와 비슷한 방식으로 유포되는 악성코드 유포 사례가 늘고 있으므로 사용자의 주의가 필요하다.

[IOC정보]

• http[:]//www.archivalladolid.org/web/%ED%95%9C%EA%B8%80-%EC%9B%8C%EB%93%9C-%EB%AC%B4%EB%A3%8C-%EB%8B%A4%EC%9A%B4%EB%A1%9C%EB%93%9C/
• http[:]//www.mict.it/?p=14023
• http[:]//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion
• http[:]//decoder.re
  

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.