안랩 ASEC 분석팀은 Magniber Ransomware가 2022.12.09에 재유포 되는 것을 확인하였다. 기존에 보안 업데이트 관련 파일명을 포함하여 코로나가 기승을 부리는 시기에 Magniber Ransomware도 코로나 관련 파일명을 포함하여 유포되는 것을 확인하였다.
| C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi |
Magniber는 과거 Internet Explorer 취약점을 이용하여 사용자의 특별한 동작 없이 웹페이지 방문만으로 Drive by Download로 랜섬웨어를 감염시켰으나, MicroSoft에서 Internet Explorer의 서비스가 종료되자 새로운 브라우져의 취약점을 이용하는 것을 포기하고 사회공학적 기법을 이용하여 보안 업데이트나, 앞서 말한 것처럼 코로나 관련 파일명을 유표하여 실행을 사용자에게 맡기고 있다.
이는 Magniber랜섬웨어 뿐만 아니라 이전에 GandCrab 이후에는 BlueCrab 지금은 Lockbit3.0을 유포하고 있는 랜섬웨어 유포자도 초기 감염 백터(MITRE ATT&CK ID: TA0001)은 취약점에서 사회공학적 기법으로 사용자의 실행으로 변경하였다. 결국 공급망 공격, 취약점 공격등에 드는 공수보다 사용자를 현혹하여 실행하는게 더 쉽다는 의미이다.
Magniber랜섬웨어는 이미 공유된 대로 Chrome 브라우저에서는 .msi파일로 다운로드 되며, Edge 브라우저에서는 .zip으로 다운로드가 된다. 하지만 외부에서 유입된 파일에 대한 실행을 묻는 확인 창 없이 클릭시 바로 실행되기 때문에 사용자는 특히나 신뢰하지 않는 사이트의 방문을 조심하여야 한다.
| COVID.Warning.Readme.[무작위 값] MS.Update.Center.Security.KB[무작위값] SYSTEM.Antivirus.Hotfix.[무작위값] ERROR.Software.Log.Hotfix.[무작위값] |
위에 적혀있는 파일명처럼 사용자는 보안이나 최신 사회 트랜드 단어를 사용하여 실행을 유도한다. 다시 한번 신뢰하지 않는 사이트 방문을 자제하여야 하며, 자기도 모르게 다운로드된 파일은 실행하지 않아야 한다.
[파일 진단]
- Ransomware/Win.Magniber.R541176 (2022.12.12.02)
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보