Dridex 봇넷, Entropy 랜섬웨어 배포 중

 

Sophos에서 최근 두 번의 Entropy 랜섬웨어 공격을 분석한 결과, 뱅킹 트로이 목마로 시작된 Dridex 악성코드와 Entropy 랜섬웨어 사이에 연결성 및 코드 유사성이 발견되었습니다.

 

SophosLabs 분석가는 “Entropy의 첫 번째 언패킹 수행 과정이 2018년 Dridex 샘플에서 발견된 LdrLoadDLL로 불리는 API를 참조하는 Dridex v4loader의 행위와 유사하다.”라며 Entropy가 랜섬웨어 코드를 숨기기 위해 사용하는 서브루틴 중 일부가 Dridex의 서브루틴과 유사하다는 것을 발견했습니다.

 

Dridex-Entropy 악성코드의 유사성은 익명의 미디어 회사와 지방 정부 기관을 대상으로 한 공격 이후에 밝혀졌습니다. 두 공격 모두 Cobalt Strike 비콘 및 Dridex로 대상 네트워크를 감염시켜 공격자에게 원격 액세스 권한을 부여함으로써 Entropy를 배포했습니다.

 

Entropy 랜섬웨어, 리브랜딩 의혹

Entropy 랜섬웨어가 DoppelPaymer(브랜드 변경을 통해 Grief 또는 Pay로 불림) 랜섬웨어의 리브랜딩이라는 의혹도 있습니다. DoppelPaymer 랜섬웨어를 대상으로 하는 Sophos 시스템에서 동일한 패커 코드가 감지되었다는 보고서를 통해 해당 의혹에 대한 근거가 힘을 실었습니다.

[그림 1] Grief-Entropy 랜섬웨어 리브랜딩 의혹 (출처 : BleepingComputer)

 

Entropy 랜섬웨어 공격 흐름

미디어 조직에 대한 Entropy 랜섬웨어 공격에서 공격자는 Exchange Server의 ProxyShell 취약점을 악용하여 웹 쉘을 업로드하여 원격 접속을 하였습니다. 이후 웹 쉘을 통해 네트워크에서 Cobalt Strike 비콘을 확산하였습니다. 그리고 Entropy 랜섬웨어를 사용하여 컴퓨터를 암호화하기 전에 4개월 동안 측면 이동을 하며 정찰 및 데이터를 훔쳤습니다.

 

정부 기관에 대한 Entropy 랜섬웨어 공격에서 공격자는 Dridex 악성코드가 첨부된 악성 이메일을 통해 초기 공격이 시작되었으며, 이후 Dridex를 통해 측면 이동을 위한 추가 악성코드를 배포했습니다. 그리고 사고 분석에 따르면 단일 시스템에서 의심스러운 로그인 시도가 처음 감지된 후 약 75시간 후에 공격자가 데이터를 훔쳐 클라우드 제공업체로 이동하였습니다.

[그림 2] Entropy 랜섬노트 (출처 : Sophos)

 

공격자 행위 및 공격 도구

위에서 언급한 두 공격 모두 Windows Sysinternals 도구인 PsExec 및 PsKill과 같은 도구와 IT 관리자가 Active Directory 서버를 쿼리 할 수 있도록 설계된 AdFind를 사용했습니다. 그리고 공격자는 무료 압축 유틸리티인 WinRAR을 사용하여 훔친 데이터를 압축한 후 Chrome 브라우저를 사용하여 다양한 클라우드 저장소 제공업체에 업로드했습니다.

 

두 공격 모두 공격자는 공격의 마지막 단계에서 Cobalt Strike 원격 제어 도구를 로드하고 실행하기 위해 반복적으로 시도했습니다. 두 번째 공격에서는 Cobalt Strike 사용에 여러 번 실패한 후 일부 시스템에 Metasploit의 Meterpreter를 설치하려고 시도했으며 결국 ScreenConnect라는 상용 원격 액세스 도구를 설치하려고 했습니다. ScreenConnect 내의 파일 공유 도구를 사용하여 Cobalt Strike를 보호된 시스템에 적용하려고 시도했지만 실패했습니다.

 

결국 공격자는 자신이 제어하던 Active Directory 서버에 파일 셋을 떨어뜨렸고, 다음 파일을 C:\share$에 떨어뜨렸습니다.

• comps.txt - 공격할 호스트 목록
• pdf.dll - 랜섬웨어 페이로드
• PsExec.exe - Microsoft 응용 프로그램
• COPY.bat - PsExec를 사용하여 pdf.dll을 모든 호스트에 복사
• EXE.bat - PsExec를 사용하여 모든 호스트에 pdf.dll 실행

 

이후 COPY.bat 스크립트와 EXE.bat 스크립트를 차례로 실행했습니다.

 

Sophos의 수석 연구원인 앤드류 브란트(Andrew Brandt)는 “공격 대상이 현재 패치가 되지 않았거나 업데이트를 지원하지 않는 취약한 Windows 시스템이었기에 두 공격이 모두 가능했다.”라고 말했습니다.

그리고 “다단계 인증을 사용해야 하는 요구 사항이 있었다면 승인되지 않은 사용자가 해당 컴퓨터나 다른 컴퓨터에 로그인하는 데 더 많은 어려움을 일으켰을 것”이라고 덧붙였습니다.

 

대응 방안

• Windows 시스템 보안 패치를 항상 최신으로 유지
• 다단계 인증(Multi Factor Authentication, MFA) 구현

(출처 :

https://www.bleepingcomputer.com/news/security/entropy-ransomware-linked-to-evil-corps-dridex-malware/

https://thehackernews.com/2022/02/dridex-malware-deploying-entropy.html

https://www.sophos.com/en-us/press-office/press-releases/2022/02/sophos-uncovers-code-similarities-in-dridex-botnet-and-entropy-ransomware

https://news.sophos.com/en-us/2022/02/23/dridex-bots-deliver-entropy-ransomware-in-recent-attacks/

)

 

보안관제센터 MIR Team