마이크로소프트(MS)가 우크라이나와 폴란드의 운송, 물류 조직을 공격하는 프레스티지 랜섬웨어에 대해 경고했다.
MS에 따르면, 프레스티지 랜섬웨어는 10월 11일 처음 발견됐으며 현재 추적 중인 다른 94개의 랜섬웨어와는 관련이 없는 것으로 알려졌다.
MSTIC(Microsoft Threat Intelligence Center)에서 발행한 보고서에 따르면, 프레스티지 랜섬웨어는 러시아 해커들의 활동과 그 피해자에 대한 정보를 공유하고 있다.
MSTIC은 이번 랜섬웨어가 지난 2주 동안 우크라이나의 여러 주요 인프라 조직을 강타한 AprilAxe(ArguePatch), CaddyWiper, Foxblade (HermeticWiper)를 활용한 최근의 파괴적인 공격과 다르다는 점에 주목했다.
MSTIC에 따르면, 프레스티지를 사용하는 해커는 랜섬웨어를 배포하기 전에 다음과 같은 두 가지 유틸리티를 사용한다.
• RemoteExec: 에이전트 없는 원격 코드 실행을 위한 상용 도구
• Imppacket WMIexec: 원격 코드 실행을 위한 오픈 소스 스크립트 기반 솔루션
이후 다음과 같은 도구들을 사용해 높은 권한을 가진 자격 증명에 접근한다.
• WinPEAS: 윈도우에서 권한 상승을 얻기 위한 스크립트의 오픈 소스 모음이다.
• comsvcs.dll: LSASS 프로세스의 메모리를 덤프하고 자격 증명을 훔치는 데 사용된다.
• ntdsutil.exe: 자격 증명에 필요한 Active Directory 데이터베이스를 백업하는데 사용된다.
MSTIC는 "해커는 프레스티지를 유포하기 위해 Domain Admin과 같은 높은 권한을 가진 자격 증명에 액세스 권한을 얻었다. 현재 초기 액세스 벡터는 식별되지 않았지만 해커가 이전 손상에서 높은 권한을 가진 자격 증명에 대한 권한을 이미 갖고 있을 수도 있다"라고 설명했다.
또한 MSTIC 연구원들은 해커가 프레스티지 랜섬웨어를 배포하기 위해 다음과 같이 세 가지 방법을 사용하는 것을 관찰했다.
1. 랜섬웨어 페이로드를 원격 시스템의 ADMIN$ 공유에 복사하고, 페이로드를 실행하기 위해 Imppacket을 사용해 대상 시스템에서 원격으로 윈도우 예약 작업을 생성한다.
2. 랜섬웨어 페이로드를 원격 시스템의 ADMIN$ 공유에 복사하고 Imppacket을 사용해 대상 시스템에서 원격으로 인코딩된 PowerShell 명령을 호출하여 페이로드를 실행한다.
3. 랜섬웨어 페이로드를 Active Directory 도메인 컨트롤러에 복사하고 기본 도메인 그룹 정책 개체를 사용해 시스템에 배포한다.
프레스티지는 랜섬웨어는 암호화하는 각 드라이브의 루트 디렉토리에 있는 README.txt라는 랜섬 노트를 삭제한다. 이후 시스템에서 데이터 복구를 방지하기 위해 CryptoPP C++ 라이브러리를 사용해 각 적격 파일을 AES 암호화한다.
한편, MS는 IOC(Indicator of Compromise) 목록을 발표해 프레스티지로 인한 감염을 점검하고 있으며, 속해서 DEV-0960 활동을 모니터링하고 고객을 위한 보호 기능을 구현할 예정이다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
