매그니베르(Magniber) 랜섬웨어 변경(*.msi -> *.cpl) – 7/20일자

2022년 2월부터 매그니베르 랜섬웨어는 IE 브라우저 취약점이 아닌 Windows 설치 패키지 파일(.msi) 형태로 유포되고 있었다.

유효한 인증서를 포함하고 있으며, MSI 파일 내부에 DLL 형태로 유포되는 상황에서 7/20(수)부터는 MSI 파일이 아닌 CPL 확장자(Windows Control Panel Item)로 유포되는 것이 확인되었다.

[그림-1] 기존 MSI 파일 유포 현황

위 그림과 같이 기존 MSI 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는 MSI파일에서 CPL파일 유포로로 전환한 것을 확인할 수 있다.

(2022/07/19) MS.Upgrade.Database.Cloud.msi
(2022/07/20) MS.Upgrade.Database.Cloud.cpl (Chrome 브라우저)
(2022/07/20) MS.Upgrade.Database.Cloud.zip (Edge 브라우저)

[그림-2] 광고사이트 및 위장사이트를 통해 리다이렉션된 랜섬웨어 유포 페이지(Chrome 브라우저)

Chrome 브라우저이 경우 cpl파일 그대로 다운로드되고 있으나, Edge브라우저의 경우 cpl파일 다운로드가 차단되자 .zip 파일로 압축하여 유포하고 있다.

[그림-3] Edge 브라우저에서 .cpl 파일 다운로드시 차단 화면
[그림-4] 광고사이트 및 위장사이트를 통해 리다이렉션된 랜섬웨어 유포 페이지 (Edge 브라우저)

매그니베르 공격자는 Edge브라우저에서도 .cpl파일로 유포하였으나 브라우저에서 다운로드가 차단되자 발빠르게 .zip 파일로 변경하여 유포하고 있다.

[그림-5] 유포페이지로부터 다운로드된 Windows 제어판 파일(.cpl) (매그니베르 랜섬웨어)
[그림-6] Chrome 브라우저를 이용한 Magniber 다운로드시 프로세스 트리

다운로드 받은 [Magniber].cpl파일을 사용자가 실행할 경우 Windows 정상 프로세스인 control.exe가 rundll32.exe를 이용하여 cpl파일을 구동 시킨다.

[그림-7] 매그니베르 랜섬웨어 랜섬노트

현재 매그니베르는 최신 윈도우 버전의 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 아래와 같이 대응하고있다.

[IOC]
[파일진단]
Ransomware/Win.Magniber.C5211694 (2022.07.20.02)

[행위진단]
Ransom/MDP.Magniber.M4379 (2022.07.22.02)
Ransom/MDP.Magniber.M4385 (2022.07.24.03)

[.cpl MD5]
C49DD67AFB59A85FBCBC77C412338255

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments