Magniber 랜섬웨어의 유포 중단 (2/5 이후)

안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다.

매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트 설치파일(.Appx)로 가장하여 다운로드를 유도한다. 위 설명한 두 가지 유포가 2022년 02월 05일 을 기점으로 유포를 멈추는 정황이 보여지고 있다.

  • 인터넷 익스플로러의 브라우져 취약점을 사용하는 매그니베르 랜섬웨어
  • 크로미움(Chromium)기반 브라우져인 경우 업데이트 설치파일(.appx) 위장해 유포되는 매그니베르 랜섬웨어

아래 [그림 1~3] 은 위에 설명한 두 가지 방식의 유포 건 수를 자사의 ASD(AhnLab Smart Defense) 인프라를 통해 확인한 그래프 이다. 일 평균 500~600건 가량 유포되고 있었으나 현재 2월 5일을 기점으로 인터넷 익스플로러 취약점을 통한 유포는 [그림1] [그림 2] 와 같이 0건을 보이며 Edge, chrome 유포 건 수 또한 [그림 3] 과 같이 0으로 하락하고 있으며 2월 5일을 기점으로 생성된 랜섬웨어 파일은 확인되지 않고 있어 두 가지 유포방식이 동일 시점에 유포를 중단한 것으로 보여진다.

[그림 1] 인터넷 익스플로러 취약점 통한 매그니배르 랜섬웨어 유포 건 수(win 10)
[그림 2] 인터넷 익스플로러 취약점 통한 매그니배르 랜섬웨어 유포 건 수(win 7)
[그림 3] Edge, Chrome 브라우져를 통한 매그니배르 랜섬웨어 유포 건 수

멀버타이징을 통해 유포되는 매그니베르 랜섬웨어의 유포 중단 정황을 설명 하였다. 매그니베르 랜섬웨어는 신규 취약점을 발 빠르게 탑재하고 유포방식 또한 빠르게 변경하는 랜섬웨어다. 유포가 중단되는 정황은 역설적으로 새로운 취약점 이나 유포방식으로의 변경의 조짐일 수 있어 지속적인 감시가 필요하다.

[V3 진단]

  • Exploit/MDP.CVE-2021-26411.M3751(행위 진단)
  • Exploit/MDP.CVE-2021-40444.M3970(행위 진단)
  • Exploit/JS.CVE-2021-40444.XM129 (프로세스 메모리 진단)
  • Ransomware/Win.Magniber.XM135(파일 진단)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

이 이미지는 대체 속성이 비어있습니다. 그 파일 이름은 ASEC_Blog_bn_800x300.png입니다

Categories:미분류

5 1 vote
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
피해자
피해자
5 months ago

감염 피해입은 사람들은 복구 불가능한 영구적인 피해를 입어야 하는거네요. 랜섬웨어 유포한 사람 누군지 찾으면 죽여버리고싶습니다.