Magniber 랜섬웨어의 유포 중단 (2/5 이후)

안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다.

매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트 설치파일(.Appx)로 가장하여 다운로드를 유도한다. 위 설명한 두 가지 유포가 2022년 02월 05일 을 기점으로 유포를 멈추는 정황이 보여지고 있다.

• 인터넷 익스플로러의 브라우져 취약점을 사용하는 매그니베르 랜섬웨어

매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444) – ASEC BLOG

매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된 것을 확인하였다. 해당 취약점은 9월 14일에 MS 보안패치가 적용된 최신 취약점으로 많은 사용자들…

• 크로미움(Chromium)기반 브라우져인 경우 업데이트 설치파일(.appx) 위장해 유포되는 매그니베르 랜섬웨어

Edge, Chrome 웹 브라우저를 통해 유포되는 Magniber 랜섬웨어 – ASEC BLOG

ASEC 분석팀에서는 IE 취약점을 통해 유포되는 매그니베르 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되고 있고, 하기 블로그에서 언급한 것처럼 현재까지도 IE(Internet Explorer)를 통해 취약점을 활용한 형태로 유포되고 있다. 하지만 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서도 유포 중인 현황이 발견되었다. 이와 같은 방식은 기존 인터넷 익스플로러를 통한 매그니베르 감염과 같이 접속만으로도 감염되는 형태가 아닌, 랜섬웨어 감염까지 사용자의 액션(…

아래 [그림 1~3] 은 위에 설명한 두 가지 방식의 유포 건 수를 자사의 ASD(AhnLab Smart Defense) 인프라를 통해 확인한 그래프 이다. 일 평균 500~600건 가량 유포되고 있었으나 현재 2월 5일을 기점으로 인터넷 익스플로러 취약점을 통한 유포는 [그림1] [그림 2] 와 같이 0건을 보이며 Edge, chrome 유포 건 수 또한 [그림 3] 과 같이 0으로 하락하고 있으며 2월 5일을 기점으로 생성된 랜섬웨어 파일은 확인되지 않고 있어 두 가지 유포방식이 동일 시점에 유포를 중단한 것으로 보여진다.

멀버타이징을 통해 유포되는 매그니베르 랜섬웨어의 유포 중단 정황을 설명 하였다. 매그니베르 랜섬웨어는 신규 취약점을 발 빠르게 탑재하고 유포방식 또한 빠르게 변경하는 랜섬웨어다. 유포가 중단되는 정황은 역설적으로 새로운 취약점 이나 유포방식으로의 변경의 조짐일 수 있어 지속적인 감시가 필요하다.

[V3 진단]

• Exploit/MDP.CVE-2021-26411.M3751(행위 진단)
• Exploit/MDP.CVE-2021-40444.M3970(행위 진단)
• Exploit/JS.CVE-2021-40444.XM129 (프로세스 메모리 진단)
• Ransomware/Win.Magniber.XM135(파일 진단)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.