2022년 2월부터 매그니베르 랜섬웨어는 IE 브라우저 취약점이 아닌 Windows 설치 패키지 파일(.msi) 형태로 유포되고 있었다.
유효한 인증서를 포함하고 있으며, MSI 파일 내부에 DLL 형태로 유포되는 상황에서 7/20(수)부터는 MSI 파일이 아닌 CPL 확장자(Windows Control Panel Item)로 유포되는 것이 확인되었다.
위 그림과 같이 기존 MSI 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는 MSI파일에서 CPL파일 유포로로 전환한 것을 확인할 수 있다.
(2022/07/19) MS.Upgrade.Database.Cloud.msi
(2022/07/20) MS.Upgrade.Database.Cloud.cpl (Chrome 브라우저)
(2022/07/20) MS.Upgrade.Database.Cloud.zip (Edge 브라우저)
Chrome 브라우저이 경우 cpl파일 그대로 다운로드되고 있으나, Edge브라우저의 경우 cpl파일 다운로드가 차단되자 .zip 파일로 압축하여 유포하고 있다.
매그니베르 공격자는 Edge브라우저에서도 .cpl파일로 유포하였으나 브라우저에서 다운로드가 차단되자 발빠르게 .zip 파일로 변경하여 유포하고 있다.
다운로드 받은 [Magniber].cpl파일을 사용자가 실행할 경우 Windows 정상 프로세스인 control.exe가 rundll32.exe를 이용하여 cpl파일을 구동 시킨다.
현재 매그니베르는 최신 윈도우 버전의 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.
현재 안랩에서는 매그니베르 랜섬웨어에 대해 아래와 같이 대응하고있다.
[IOC]
[파일진단]
Ransomware/Win.Magniber.C5211694 (2022.07.20.02)
[행위진단]
Ransom/MDP.Magniber.M4379 (2022.07.22.02)
Ransom/MDP.Magniber.M4385 (2022.07.24.03)
[.cpl MD5]
C49DD67AFB59A85FBCBC77C412338255
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] 7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링 하던 중, 2022년 9월 8일부터는 유포 방식이 *.CPL (DLL형식)에서 *.JSE (스크립트) 형태로 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 국내 사용자에 가장 큰 피해를 주는 랜섬웨어 중 하나로 활발하게 유포되고 있고, 백신의 탐지를 우회하기 위한 다양한 시도가 확인되고 있어 사용자의 각별한 주의가 요구된다. (참고: https://asec.ahnlab.com/ko/36746) […]