7년 등장한 이후 1.2억 달러 이상을 훔친 것으로 추정되는 재정적 동기를 지닌 사이버 범죄 조직인 FIN2012은 올해 가장 많은 랜섬웨어 제품군 중 하나인 Black Basta의 배후입니다.
이것이 바로 Black Basta 캠페인과 이전 FIN7 캠페인 간의 전술, 기술 및 절차의 다양한 유사점을 바탕으로 SentinelOne 연구원들이 내린 결론입니다. 그 중에는 엔드포인트 탐지 및 대응(EDR) 제품을 회피하기 위한 도구의 유사점이 있습니다. Cobalt Strike 비콘과 Birddog이라는 백도어를 포장하는 패커의 유사점; 소스 코드가 중복됩니다. IP 주소와 호스팅 인프라가 중복됩니다.
맞춤형 도구 모음
SentinelOne의 조사 Black Basta의 활동을 통해 위협 행위자의 공격 방법 및 도구에 대한 새로운 정보도 발견되었습니다. 예를 들어, 연구원들은 많은 Black Basta 공격에서 위협 행위자들이 피해자의 Active Directory 환경에 대한 정보를 수집하기 위해 무료 명령줄 도구인 ADFind의 고유하게 난독화된 버전을 사용한다는 사실을 발견했습니다.
그들은 Black Basta 운영자가 작년에 악용하고 있음을 발견했습니다. 인쇄악몽 Windows 인쇄 스풀러 서비스의 취약점(CVE-2021-34527)와 제로로그온 Windows Netlogon 원격 프로토콜의 2020년 결함(CVE-2020-1472) 많은 캠페인에서. 두 취약점 모두 공격자가 도메인 컨트롤러에 대한 관리 액세스 권한을 얻을 수 있는 방법을 제공합니다. SentinelOne은 또한 "NoPac"을 활용한 Black Basta 공격을 관찰했다고 밝혔습니다. 두 가지 중요한 Active Directory 설계 결함을 결합합니다. 작년부터 (CVE-2021-42278 및 CVE-2021-42287). 공격자는 이 악용을 통해 일반 도메인 사용자의 권한을 도메인 관리자에게까지 승격할 수 있습니다.
지난 6월 Black Basta 추적을 시작한 SentinelOne은 Qakbot 트로이목마로 변한 악성코드 드로퍼에서 시작되는 감염 체인을 관찰했습니다. 연구원들은 위협 행위자가 AdFind, 두 가지 맞춤형 .Net 어셈블리, SoftPerfect의 네트워크 스캐너 및 WMI를 포함한 다양한 도구를 사용하여 피해자 네트워크에 대한 정찰을 수행하는 백도어를 사용하는 것을 발견했습니다. 이 단계 이후에는 위협 행위자가 다양한 Windows 취약점을 악용하여 측면 이동을 시도하고 권한을 승격하여 결국 랜섬웨어를 삭제하려고 시도합니다. 올해 초 Trend Micro는 Qakbot 그룹을 다음과 같이 식별했습니다. 손상된 네트워크에 대한 액세스 판매 Black Basta 및 기타 랜섬웨어 운영자에게 제공됩니다.
SentinelOne의 SentinelLabs는 7월 3일 블로그 게시물에서 “Black Basta 랜섬웨어 작전이 FIN7과 관련이 있을 가능성이 높다고 평가합니다. 또한 우리는 도구 뒤에 있는 개발자가 피해자를 손상시킬 가능성이 있다고 평가합니다. 디펜스는 FINXNUMX의 개발자이거나 과거였습니다.”
정교한 랜섬웨어 위협
Black Basta 랜섬웨어 작전은 2022년 90월에 나타났으며 XNUMX월 말까지 최소 XNUMX명의 피해자를 발생시켰습니다. 트렌드마이크로는 랜섬웨어를 다음과 같이 설명했습니다. 정교한 암호화 루틴 보유 각 피해자에 대해 고유한 바이너리를 사용할 가능성이 높습니다. 대부분의 공격에는 위협 행위자가 민감한 데이터를 암호화하기 전에 피해자 환경에서 먼저 유출하는 이중 갈취 기술이 포함되어 있습니다.
2022 년 XNUMX 분기에 Black Basta 랜섬웨어 감염은 9%를 차지했습니다. Digital Shadows의 데이터에 따르면 LockBit은 전체 랜섬웨어 피해자 중 35%를 차지하며 지금까지 가장 널리 퍼진 랜섬웨어 위협으로 남아 있으며 LockBit에 이어 XNUMX위를 차지했습니다.
ReliaQuest 회사인 Digital Shadows의 수석 사이버 위협 인텔리전스 분석가인 Nicole Hoffman은 "Digital Shadows는 제조를 포함한 산업재 및 서비스 산업을 표적으로 삼는 Black Basta 랜섬웨어 활동을 다른 어떤 부문보다 많이 관찰했습니다."라고 말했습니다. “건설 및 자재 부문은 현재까지 랜섬웨어 공격으로 인해 두 번째로 가장 많이 표적이 되는 산업으로 뒤를 잇고 있습니다.”
FIN7은 지난 7년간 보안업계의 가시덤불이었다. 그룹의 초기 공격은 신용카드 및 직불카드 데이터 도용에 중점을 두었습니다. 그러나 수년에 걸쳐 Carbanak 그룹 및 Cobalt 그룹으로도 추적된 FIN7은 가장 최근에는 랜섬웨어 영역을 포함하여 다른 사이버 범죄 활동으로도 다양화되었습니다. Digital Shadows를 포함한 여러 공급업체는 FINXNUMX이 REvil, Ryuk, DarkSide, BlackMatter 및 ALPHV를 포함한 여러 랜섬웨어 그룹과 연결되어 있다고 의심했습니다.
Hoffman은 "따라서 또 다른 잠재적인 연관성을 보는 것은 놀라운 일이 아닙니다."라고 이번에는 FIN7에서 말합니다. “그러나 두 위협 그룹을 함께 연결한다고 해서 항상 한 그룹이 주도권을 잡는 것은 아니라는 점에 유의하는 것이 중요합니다. 두 그룹이 함께 작업하는 게 현실적으로 가능하다”고 말했다.
SentinelLabs에 따르면 Black Basta 작전이 공격에 사용하는 일부 도구는 FIN7이 이전 랜섬웨어 활동과 새로운 랜섬웨어 활동을 분리하려고 시도하고 있음을 암시합니다. 그러한 도구 중 하나는 FIN7 개발자가 작성한 것으로 보이며 다른 랜섬웨어 작업에서는 관찰되지 않은 맞춤형 방어 회피 및 손상 도구라고 SentinelOne은 말했습니다.
