ASEC 분석팀은 지난 9월 8일 매그니베르 랜섬웨어가 CPL 확장자 에서 JSE 확장자로 변경됨을 블로그를 통해 소개한 바 있다.
공격자는 9월 8일 이후에도 지난 9월 16일에는 JSE 확장자에서 JS 확장자로 변경하였다. 그리고 금일 공격자는 JS 확장자에서 WSF 확장자로 유포 방식을 변경하였다. 공격자는 V3와 같은 백신 제품의 다양한 탐지 방식을 회피하기 위해 지속적으로 변형을 유포하고 있는 것으로 보인다.
- *.MSI (2022.02.22) -> *.CPL (2022.07.20) -> *.JSE (2022.09.08) -> *.JS (2022.09.16) -> *.WSF (2022.09.28)
금일 변경된 WSF 유포 방식은 [그림 1], [그림 2]와 같이 크롬(Chrome) 및 엣지(Edge) 브라우저 모두 동일하게 단일 WSF 파일 형태로 유포하는 것이 특징이다.
매그니베르는 주로 크롬, 엣지 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.
현재 안랩에서는 매그니베르 랜섬웨어에 대해 파일 진단 뿐만 아니라 다양한 탐지 방법으로 대응하고 있다. 따라서 사용자는 [V3 환경 설정] – [PC 검사 설정]에서 프로세스 메모리 진단 사용, 악성 스크립트 진단(AMSI) 사용 옵션을 활성화 하여 사용하는 것을 권고한다.
[IOC]
[MD5 (진단명)] – WSF 스크립트 파일 진단
– 326cd431aa11014dd61a7a22b5038fb8 (Ransomware/WSF.Magniber (2022.09.28.02))
[프로세스 메모리 진단]
– Ransomware/Win.Magniber.XM153 (2022.09.15.03)
[MD5 (진단명)] – AMSI 진단(닷넷 DLL)
– e59d7d6db1fcc8dfa57c244ebffc6de7 (Ransomware/Win.Magniber.R519329 (2022.09.15.02))
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보