콜린 티에리
Microsoft는 지난 주에 DEV-0569로 식별된 위협 그룹이 Royal의 새로운 물결 배후에 있다고 밝혔습니다. 랜섬 피싱 링크, 합법적으로 보이는 웹사이트, Google Ads를 통해 배포된 기타 멀웨어.
보안 솔루션을 우회하는 것은 위협 행위자가 때때로 문제에 직면하는 한 가지 측면입니다. 이러한 솔루션을 우회할 수 있는 한 가지 방법은 사용자를 속여 악성 링크를 클릭하거나 유해한 소프트웨어를 다운로드하는 것입니다.
DEV-0569는 대상 사용자에 대해 이 두 기술을 모두 사용합니다. 이 위협 그룹은 피싱 웹사이트를 만들고 대상 조직에서 연락처 양식을 사용하며 합법적으로 보이는 다운로드 사이트에서 설치 프로그램을 호스팅하고 Google Ads를 배포합니다.
"DEV-0569 활동은 서명된 바이너리를 사용하고 암호화된 맬웨어 페이로드를 전달합니다." 설명 마이크로소프트는 지난주 성명을 발표했다. 또한 이 그룹은 방어 회피 기술을 많이 활용하는 것으로 알려져 있으며 오픈 소스 도구 Nsudo를 계속 사용하여 최근 캠페인에서 안티바이러스 솔루션을 비활성화하려고 시도했습니다.
"DEV-0569는 스팸 이메일, 가짜 포럼 페이지 및 블로그 댓글에 포함된 소프트웨어 설치 프로그램 또는 업데이트로 위장한 맬웨어 다운로더를 가리키는 맬버타이징, 피싱 링크에 특히 의존합니다."라고 기술 대기업이 덧붙였습니다.
DEV-0569의 주요 목표 중 하나는 보안 네트워크 내의 장치에 액세스하여 Royal 랜섬웨어를 배포할 수 있도록 하는 것입니다. 결과적으로 이 그룹은 다른 해커에게 액세스 권한을 판매함으로써 다른 랜섬웨어 운영자의 액세스 브로커가 될 수 있습니다.
또한 이 그룹은 도달 범위를 확장하고 합법적인 인터넷 트래픽과 혼합하기 위해 Google Ads를 사용하고 있습니다.
"Microsoft 연구원은 광고 트래픽 추적 및 사용자 또는 장치 기반 필터링을 통해 광고 캠페인을 사용자 정의할 수 있는 기능을 제공하는 합법적인 트래픽 분산 시스템(TDS) Keitaro를 가리키는 Google Ads를 활용하는 DEV-0569 악성 광고 캠페인을 식별했습니다."라고 회사는 말했습니다. . "Microsoft는 TDS가 사용자를 합법적인 다운로드 사이트로 리디렉션하거나 특정 조건에서 악의적인 BATLOADER 다운로드 사이트로 리디렉션하는 것을 관찰했습니다."
따라서 이 전략을 통해 공격자는 특정 대상과 IP에 맬웨어를 전송하여 알려진 보안 샌드박싱 솔루션의 IP 범위를 우회할 수 있습니다.
