AhnLab Security Emergency response Center(ASEC)은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 8/3 매그니베르가 사용하는 인젝션 기법의 차단룰 배포 이후 아래와 같이 블로그를 공개하였다.
이 후 매그니베르 제작자는 여러가지 탐지 우회 테스트를 진행하며 수량이 줄다가 8/25일자 기준으로 매그니베르 랜섬웨어의 유포 중단 을 확인하였다.
2016년 매그니베르가 세상에 처음 등장하고 나서 이렇게 긴 시간동안 유포를 중지하고 휴식을 가져간 기간은 없었다(통상 2주에서 한달안에 새로운 기법으로 탐지를 우회하여 재배포 시작). 탐지룰에 수량 그래프는 아래와 같다. 8월 25일을 기점으로 더이상 탐지가 보고되지 않고 있으며, 유포 또한 중지된 것을 확인하였다.
매그니베르 랜섬웨어는 다양한 백신 우회 기법을 탑재하여 유포되며, 유포방식 또한 발 빠르게 변경하는 랜섬웨어다. 유포가 중단되는 정황은 역설적으로 새로운 유포방식으로의 변경이나 새로운 취약점, 추가적인 백신 우회기법 탑재를 위한 격동의 조짐일 수 있어 지속적인 감시가 필요하다.
[매그니베르 행위진단]
– Ransom/MDP.Magniber.M4687 (2022.08.03.03)
– Ransom/MDP.Magniber.M4683 (2022.07.19.00)
[매그니베르 파일진단]
-Ransomware/Win.Magniber.C5468545(2023.08.09.02)
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보