Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Black Kingdom 랜섬웨어의 표적이 된 Microsoft Exchange Serve
작성일 2021-03-23 조회 2324

Microsoft Exchange ransomware

 

 

'Black Kingdom'으로 알려진 또 다른 랜섬웨어 작업은 Microsoft Exchange Server ProxyLogon 취약점을 악용하여 서버를 암호화하는 것입니다.

 

지난 주말, 보안 연구원인 Marcus Hutchins(MalwareTechBlog)는 트위터를 통해 위협 행위자가 ProxyLogon 취약점을 통해 Microsoft Exchange Server를 손상시켜 랜섬웨어를 배포하고 있다고 밝혔습니다.

 

Hutchins는 허니팟(Honeypot)의 로그를 기반으로 위협 행위자가 취약점을 이용하여 'yuuuu44.com''에서 랜섬웨어 실행 파일을 다운로드한 다음 네트워크의 다른 컴퓨터로 전송하는 PowerShell 스크립트를 실행했다고 말했다.

 

허니팟은 공격자를 유인하고 활동을 모니터링하기 위해 인터넷에 노출 된 알려진 취약점이있는 장치이다. Hutchins의 허니팟은 암호화되지 않았고, 그가 목격한 공격은 실패한 캠페인으로 여겨졌다.

 

 

[그림1. Hutchins의 트윗]

 

 

 

그러나 Black Kingdom 캠페인은 랜섬웨어 식별 사이트 ID Ransomware에 대한 제출을 바탕으로 3월 18일에 처음 발견되었다.

 

ID Ransomware를 제작한 Michael Gillespie는 자신의 시스템에 30개 이상의 고유 제출물이 있으며, 메일 서버로부터 직접 제출되는 경우가 많다고 말했다.

 

피해자는 미국, 캐나다, 오스트리아, 스위스, 러시아, 프랑스, 이스라엘, 영국, 이탈리아, 독일, 그리스, 호주, 크로아티아에 있다.

 

장치를 암호화할 때 랜섬웨어는 임의 확장자를 사용하여 파일을 암호화한 다음 아래와 같이 decrypt_file.TxT라는 랜섬노트를 생성한다. Hutchins는 약간 다른 텍스트를 사용하는 ReadMe.txt라는 다른 랜섬노트를 보았다고 말했다.

 

 

블랙 킹덤 랜섬 노트

[그림2. Black Kingdom의 랜섬노트]

 

 

 

BleepingComputer에서 확인한 랜섬노트는 모두 비트코인으로 1만 달러를 요구하고 동일한 비트코인 주소(1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT)를 사용한다. 이 비트코인 주소는 3월 18일에 한 번만 지불됐으며 이후 다른 주소로 이체되었다.

 

BlackKingdom으로 알려진 또 다른 랜섬웨어는 2020년 6월 Pulse VPN 취약점을 이용하여 기업 네트워크가 손상되었을 때 공격에 사용되었다.

 

최근의 공격과 2020년 여름의 공격들이 동일한 랜섬웨어를 사용하고 있는지는 확인되지 않았지만, Hutchins는 현재 랜섬웨어 실행 파일이 윈도우 실행 파일로 컴파일된 파이썬 스크립트라고 말한다. 2020년 6월 Black Kingdom 랜섬웨어도 파이썬으로 코딩되었다.

 

최근 Black Kingdom 공격의 피해자인 경우 사이버 보안 회사 Emsisoft가 파일 복구에 도움을 줄 수 있다.

 

Black Kingdom은 Microsoft Exchange ProxyLogon 취약점을 대상으로 하는 두 번째로 확인된 랜섬웨어이다. 첫 번째는 이달 초에 제한된 공격에 사용된 DearCry 랜섬웨어였다.

 

최근 대표적인 전자업체 Acer 역시 ProxyLogon 취약점을 통해 진행된 것으로 의심되는 REvil 랜섬웨어 공격을 받았다. 하지만, 이것은 확인되지 않았다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-now-targeted-by-black-kingdom-ransomware/

첨부파일 첨부파일이 없습니다.
태그 Black Kingdom  Microsoft  Exchange Server