Saturday, August 28, 2021

랜섬웨어 해커 그룹 - 원퍼센트(OnePercent)


  • 개요

2021년 8월 25일, FBI가 무명에 가까운 신생 랜섬웨어(ransomware) 해커 그룹, 원퍼센트(OnePercent)에 대한 Flash report를 관련 IOC와 함께 발표하며 경고했다.

이 그룹은 2020년 11월부터 미국 내 조직들을 상대로 왕성하게 활동해 오고 있다. 피해자에게 피싱(phishing) 이메일을 보내고 심지어 전화까지 걸어 협박하는 것이 특징이고, 주로 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구를 주로 활용한다.

* 관련 기사
FBI Releases Indicators of Compromise Associated with OnePercent Group Ransomware (CISA)
FBI, 새로운 랜섬웨어 그룹 원퍼센트에 대한 경고 발표해 (보안뉴스)

* 관련 FBI 보고서
FBI Flash CU-000149-MW (FBI, PDF)

* 참고 
FBI는 인터넷 범죄 신고 센터(Internet Crime Complaint Center, 일명 IC3)를 운영하고 있다. 이 온라인 사이트를 통해 대중은 인터넷을 통한 범죄 행위로 의심되는 활동에 관한 정보를 FBI에 제출할 수 있다.
2000년 이후 IC3는 지적 재산권(IPR) 문제, 컴퓨터 침입(해킹), 경제 스파이(영업 비밀 절도), 온라인 갈취를 포함한 다양한 형태의 온라인 사기를 포함하여 사이버 범죄 문제의 스펙트럼을 넘나드는 불만을 접수했다.
이전에 IFCC(Internet Fraud Complaint Center)로 알려졌던 IC3는 인터넷, 사이버 관련 문제의 광범위한 특성을 더 잘 반영하고 "인터넷 사기(Internet Fraud)"를 잠재적으로 중복될 수 있는 다른 사이버 범죄와 구별하기 위해 이름을 변경했다.
또한, FBI는 대중들의 경각심을 높이기 위해 해마다 인터넷 범죄의 동향 및 통계에 대한 보고서(IC3 Annual Report)를 발행하고 있다.


  • TTP (Tactics, Techniques, and Procedures)

악성 zip 파일이 첨부된 피싱(phishing) 이메일을 통해 최초 침투를 한다. 이 압축 파일은 악성 매크로(macro)가 담긴 MS 워드나 엑셀 문서를 담고 있고, 이 매크로가 실행되면 시스템에 아이스드아이디(IcedID)라는 뱅킹 트로이목마(Banking Trojan, 일명 뱅커Banker)가 설치된다.

이 아이스드아이디는 코발트 스트라이크(Cobalt Strike) 등 추가 페이로드를 다운로드받는다. 이후 PowerShell을 통해 네트워크 내의 다른 시스템으로 횡적 이동(Lateral Movement) 한다.

공격자들은 피해자의 네트워크에서 데이터 유출(Data Exfiltration)을 위해 rclone을 사용한다.
최대 한 달 동안 정보를 빼낸 후에 랜섬웨어로 암호화 공격을 한다.

랜섬웨어가 성공적으로 배포되면 피해자는 스푸핑된 전화번호를 통해 랜섬(돈)을 요구하는 연락을 받게 된다. 추가 연락을 위해서 ProtonMail 주소가 제공된다. 공격자들은 피해자 회사의 훔친 데이터를 공개하겠다고 위협하고 피해 기업이 대응하지 않을 경우, ProtonMail을 통해 데이터를 공개하겠다고 지속해서 위협 이메일을 보낸다.

그래도 답장을 보내지 않으면 공격자는 드디어 정보 일부를 공개하기 시작한다. 이 일부가 1% 정도 된다고 하며, 그래서 이들은 자신들을 원퍼센트(OnePercent) 그룹이라고 부른다.

* 참고 자료 및 출처
New Macro Word Malware Email Scams Hidden in Zip File Attachments (MailGuard)
“모바일 뱅킹 트로이목마 악성 파일 2.5배 증가” 카스퍼스키 (ITWorld)


  • 공격 도구

원퍼센트 그룹은 아래와 같은 도구들을 활용하고 있다.
AWS S3 cloud
‣ IcedID
‣ Cobalt Strike
‣ Powershell
‣ Rclone
‣ Mimikatz
‣ SharpKatz
‣ BetterSafetyKatz
‣ SharpSploit

* 참고 자료 및 출처
코발트 스트라이크(Cobalt Strike)는 최근 몇 년 동안 많은 사이버 범죄자들에게 인기를 얻고 있는 사용 침투 테스트 도구다.
- Cobalt Strike : 침투 테스팅 도구 (AEP코리아네트)
- 국내 기업 위협하는 코발트 스트라이크 심층 분석 (안랩)
‣ IcedID
‣ Mimikatz


  • 권고 조치(Recommended Mitigations)

✓ 아래와 같은 IOCs(IP, Domain 및 URL)을 방화벽에서 차단하고 IDS/IPS에서 모니터링한다.
✓ 중요한 데이터를 오프라인으로 백업한다.
✓ 관리자(administrator)가 'Admin Approval' 모드를 사용하고 있지 않은지 확인한다.
✓ 가능하면 마이크로소프트 LAPS를 구현한다.
✓ 중요한 데이터의 복사본이 클라우드나 외장 하드 드라이브에 저장되어 있는지 확인한다. 이 정보는 침해받은 네트워크에서 접근이 안되도록 해야한다.
✓ 백업을 보호하고 데이터 수정 및 삭제를 위해서 원래 데이터가 있던 곳에서 접근이 안되도록 한다.
✓ 컴퓨터, 장치, 애플리케이션을 패치하고 최신 상태로 유지한다.
✓ 조직 외부에서 수신한 이메일에 이메일 배너를 추가하라.
✓ 사용하지 않는 원격 접근/RDP 포트를 비활성화하고 원격 접근/RDP 로그를 모니터링하라.
✓ 관리자 권한이 있는 사용자 계정을 감사(audit)하고 최소 권한(least privilege)으로 액세스 제어를 구성한다.
✓ 네트워크 세그멘테이션(network segmentation, or zoning)을 구현한다.
✓ 강력한 암호와 함께 다단계 인증(MFA)을 사용한다.

* 참고 자료 및 출처
Microsoft security advisory: Local Administrator Password Solution (LAPS) now available (Microsoft)
How to install and configure Microsoft LAPS (4sysops)


  • IOCs

▶ IPs and Domains
157.245.239.187
31.187.64.199
206.189.227.145
167.71.224.39
80.82.67.221
138.197.179.153
134.209.203.30
nix1.xyz
golddisco.top
delokijio.pw
june85.cyou
intensemisha.cyou
biggarderoub.cyou
d30qpb9e10re4o.cloudfront.net

▶ TOR URL
http://5mvifa3xq5m7sou3xzaajfz7h6eserp5fnkwotohns5pgbb5oxty3zad. onion

No comments:

Post a Comment