매그니베르(Magniber) 랜섬웨어 변경(*.msi -> *.cpl) – 7/20일자

2022년 2월부터 매그니베르 랜섬웨어는 IE 브라우저 취약점이 아닌 Windows 설치 패키지 파일(.msi) 형태로 유포되고 있었다.

정상 윈도우 인스톨러(MSI)로 위장한 매그니베르 유포 재개 (2/22) – ASEC BLOG

ASEC 분석팀은 어제 (02/22) 오전 매그니베르 랜섬웨어가 기존 윈도우앱(APPX) 형태가 아닌 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. Critical.Update.Win10.0-kb4215776.msi Critical.Update.Win10.0-kb6253668.msi Critical.Update.Win10.0-kb5946410.msi MSI 패키지 파일은 정상적인 윈도우 업데이트에도 사용되는 일종…

유효한 인증서를 포함하고 있으며, MSI 파일 내부에 DLL 형태로 유포되는 상황에서 7/20(수)부터는 MSI 파일이 아닌 CPL 확장자(Windows Control Panel Item)로 유포되는 것이 확인되었다.

위 그림과 같이 기존 MSI 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는 MSI파일에서 CPL파일 유포로로 전환한 것을 확인할 수 있다.

(2022/07/19) MS.Upgrade.Database.Cloud.msi
(2022/07/20) MS.Upgrade.Database.Cloud.cpl (Chrome 브라우저)
(2022/07/20) MS.Upgrade.Database.Cloud.zip (Edge 브라우저)

Chrome 브라우저이 경우 cpl파일 그대로 다운로드되고 있으나, Edge브라우저의 경우 cpl파일 다운로드가 차단되자 .zip 파일로 압축하여 유포하고 있다.

매그니베르 공격자는 Edge브라우저에서도 .cpl파일로 유포하였으나 브라우저에서 다운로드가 차단되자 발빠르게 .zip 파일로 변경하여 유포하고 있다.

다운로드 받은 [Magniber].cpl파일을 사용자가 실행할 경우 Windows 정상 프로세스인 control.exe가 rundll32.exe를 이용하여 cpl파일을 구동 시킨다.

현재 매그니베르는 최신 윈도우 버전의 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 아래와 같이 대응하고있다.

[파일진단]
Ransomware/Win.Magniber.C5211694 (2022.07.20.02)

[행위진단]
Ransom/MDP.Magniber.M4379 (2022.07.22.02)
Ransom/MDP.Magniber.M4385 (2022.07.24.03)

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.