Conti 랜섬웨어가 코스타리카 정부를 공격한 방법 공개돼

Conti 랜섬웨어 갱단이 지난 4월 코스타리카 정부를 어떻게 침해했는지에 대한 세부 사항이 공개되었습니다.

 

Conti의 코스타리카 정부에 대한 5일 간의 침입

Conti 랜섬웨어는 Ryuk 랜섬웨어를 대체하기 위해 2020년부터 활동을 시작했으며 미국 지방 정부, 학교, 국가 의료기관 등을 포함한 민간 및 공공 부분의 피해자를 공격하여 악명이 높아졌습니다.

 

지난 2022년 4월 11일, Conti는 코스타리카 정부의 네트워크에 최초 접근하여 정찰 후 공격을 수행했습니다. 

 

공격자는 코스타리카 재무부에 속한 “MemberX”라는 그룹의 구성원의 손상 된 자격 증명을 사용하여 VPN에 초기 엑세스를 할 수 있었습니다.

 

손상된 자격 증명은 피해자 네트워크에 설치된 멀웨어에서 얻은 것이며 10개 이상의 Cobalt Strike 비컨 세션이 설정 되어있었습니다.

 

공격자는 로컬 네트워크 도메인 관리자의 엑세스 권한을 얻은 후 Nltest 명령줄 도구를 사용하여 도메인 트러스트 관계를 확인했습니다. 이 후 ShareFinder 및 AdFind 유틸리티를 사용하여 네트워크에서 파일 공유를 검색했습니다. 

[그림 1] 네트워크 스캔  (AdvIntel)

 

공격자는 Cobalt Strike 백도어 채널을 사용하여 파일 공유 출력을 로컬 시스템으로 다운로드 했습니다. 공격자는 관리 공유에 엑세스하여 Cobalt Strike DLL beacon을 업로드한 후 PsExec 도구를 사용하여 원격 파일 실행을 할 수 있었습니다.

[그림 2] PsExec를 사용하여 네트워크에 Cobalt Strike를 업로드 (AdvIntel)

 

 

공격자는 자격 증명을 얻기 위해 Mimikatz를 사용하여 로컬 사용자의 패스워드 및 NTDS 해시를 수집한 후 관리자, 도메인 및 엔터프라이즈 관리자 해시를 얻었습니다. 

 

Conti 운영자들은 Mimikatz를 활용하여 DSSync와 Zerologon 공격을 수행하였고, 이 공격을 통해 코스타리카의 상호 연결된 네트워크의 모든 호스트에 엑세스할 수 있었습니다. 또한, 담당자가 Cobalt Strike Beacon을 탐지하는 경우에도 엑세스 권한을 잃지 않도록 하기 위해 관리자 권한이 있는 사용자 중 활동이 적은 호스트를 식별하여 Atera 원격 엑세스 도구를 설치했습니다.

 

Conti는 여러 클라우드 스토리지 서비스에서 파일을 관리할 수 있는 Rclone 프로그램을 사용하여 데이터를 탈취할 수 있었으며 파일 호스팅 서비스 MEGA에 데이터를 업로드 하기 위해 해당 작업을 계속했습니다.

[그림 3] 코스타리카에 대한 Conti 랜섬웨어 공격 흐름 (AdvIntel)

 

출처

https://www.bleepingcomputer.com/news/security/how-conti-ransomware-hacked-and-encrypted-the-costa-rican-government/

 

보안관제센터 MIR Team