다중 라이센스 할인 견적
위협 데이터베이스 랜섬웨어 LeakNet 랜섬웨어

LeakNet 랜섬웨어

랜섬웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

랜섬웨어 공격인 LeakNet은 ClickFix 소셜 엔지니어링 기법을 주요 침입 경로로 활용하여 침입 전술에 주목할 만한 변화를 가져왔습니다. 이 기법은 사용자를 속여 조작된 시스템 오류를 해결하는 것처럼 가장하여 악성 명령을 실행하게 만듭니다. 초기 접근 브로커로부터 도난당한 계정 정보를 구매하는 것과 같은 기존 접근 방식과는 달리, 이 전술은 사용자의 신뢰와 일상적인 행동을 직접적으로 악용합니다.

보안이 취약하지만 정상적인 웹사이트들이 악용되어 가짜 CAPTCHA 인증 프롬프트가 표시됩니다. 이러한 프롬프트는 사용자에게 악성 msiexec.exe 명령어를 복사하여 Windows 실행 대화 상자를 통해 실행하도록 유도합니다. 이러한 상호 작용은 일상적인 시스템 활동과 유사하기 때문에 공격이 평범하게 보이고 즉각적인 의심을 불러일으키지 않습니다. 이러한 광범위하고 기회주의적인 전략은 특정 산업 분야를 가리지 않고 공격을 가능하게 합니다.

전략적 전환: 초기 접근 중개자로부터의 독립

LeakNet이 ClickFix로 전환한 것은 전략적으로 계획된 운영 방식의 변화입니다. 제3자 자격 증명 공급업체에 대한 의존도를 없앰으로써, 접근 권한 확보와 관련된 비용과 시간을 모두 절감할 수 있습니다. 이러한 독립성은 핵심적인 병목 현상을 제거하여 캠페인을 더욱 신속하고 효율적으로 확장할 수 있도록 해줍니다.

또한 공격자가 제어하는 시스템이 아닌 손상된 정상 인프라를 사용하는 것은 탐지 가능한 네트워크 지표를 크게 줄입니다. 이로 인해 악성 활동이 신뢰할 수 있는 트래픽에 자연스럽게 섞여 들어가 기존의 경계 기반 방어 체계의 효과가 떨어집니다.

파일 없는 실행: Deno 기반 로더의 작동 방식

이러한 공격의 핵심적인 기술적 특징은 Deno JavaScript 런타임을 기반으로 구축된 단계별 명령 및 제어(C&C) 로더를 배포하는 것입니다. 이 로더는 Base64로 인코딩된 JavaScript를 메모리에서 직접 실행하여 디스크 쓰기를 방지하고 포렌식 흔적을 최소화합니다.

로더가 작동되면 다음과 같은 몇 가지 중요한 기능을 수행합니다.

  • 손상된 시스템을 분석하여 환경 정보를 수집합니다.
  • 외부 서버와 통신을 설정하여 보조 페이로드를 검색합니다.
  • 폴링 메커니즘을 통해 지속적으로 추가 코드를 가져와 실행함으로써 영속성을 유지합니다.

이러한 파일 없는 실행 모델은 은밀성을 높이고 기존 보안 도구의 탐지 노력을 어렵게 만듭니다.

일관된 사후 대응 전략

초기 접근 방식에는 차이가 있지만, LeakNet의 운영 방식은 침해 후 예측 가능한 워크플로로 수렴합니다. 이러한 일관성은 방어자에게 랜섬웨어 배포 전에 탐지 및 차단할 수 있는 귀중한 기회를 제공합니다.

일반적인 공격 순서는 다음과 같습니다.

  • DLL 사이드 로딩을 통해 로더가 전달하는 악성 라이브러리를 실행합니다.
  • PsExec과 같은 도구를 사용하여 네트워크 접근 범위를 확장하는 측면 이동
  • cmd.exe /c klist 명령어를 이용한 자격 증명 정찰을 통해 활성 인증 세션을 식별합니다.
  • S3 버킷을 통한 데이터 스테이징 및 유출, 활동을 합법적인 클라우드 트래픽으로 위장
  • 랜섬웨어 배포를 위한 최종 암호화 단계

기본 제공되는 Windows 도구와 일반적인 클라우드 서비스를 사용하면 악의적인 행위가 정상적인 시스템 및 네트워크 동작에 섞여 들어갈 수 있습니다.

위협 프로필: 발생 원인 및 공격 범위

2024년 11월에 등장한 LeakNet은 처음에는 투명성과 인터넷 자유를 주제로 삼는 '디지털 감시단'을 표방했습니다. 그러나 관찰된 활동은 산업 단체에 대한 공격을 포함하여 훨씬 더 광범위하고 공격적인 활동 범위를 드러냅니다.

이 캠페인의 무차별적인 표적 전략과 확장 가능한 감염 방식은 특정 부문에 집중하기보다는 도달 범위를 극대화하려는 의도를 분명히 보여줍니다.

수비적 함의: 예측 가능성의 이점

LeakNet의 침입 기법은 진화해 왔지만, 반복 가능한 공격 체인에 의존한다는 점은 치명적인 약점으로 작용합니다. 공격 실행부터 측면 이동, 데이터 유출에 이르기까지 각 단계는 식별 가능한 행동 패턴을 따릅니다.

이러한 일관성 덕분에 수비수들은 다음과 같은 이점을 얻을 수 있습니다.

  • 정상적인 시스템 도구의 비정상적인 사용을 감지합니다.
  • 비정상적인 메모리 실행 패턴을 모니터링합니다.
  • 의심스러운 클라우드 스토리지 상호 작용을 식별합니다.
  • 암호화가 발생하기 전에 공격 진행을 차단합니다.

핵심은 분명합니다. 초기 접근 방식은 다양할 수 있지만, 기본적인 운영 원칙은 안정적으로 유지되어 조기 발견 및 대응을 위한 다양한 기회를 제공합니다.


트렌드

호텔 객실 업그레이드 관련 악성 이메일

스팸, 멀웨어
오늘날과 같은 위협 환경에서는 예상치 못한 이메일을 처리할 때 경계를 늦추지 않는 것이 매우 중요합니다. 사이버 범죄자들은 수신자를 속여 해로운 행동을 유도하기 위해 악성 메시지를 합법적인 이메일로 위장하는 경우가 많습니다. 소위 '호텔 객실 업그레이드' 이메일은 이러한 수법의 대표적인 예입니다. 이러한 이메일은 합법적인 호텔, 여행사, 신혼여행 서비스 제공업체 또는 기타 신뢰할 수 있는 기관과 아무런 관련이 없습니다. 오히려 악성 소프트웨어를 유포하려는 계획적인 시도의 일부입니다. 기만적인 신혼여행 요청 언뜻 보면 '호텔 객실 업그레이드' 이메일은 무해하고 심지어 호의적으로 보입니다. 이 메시지는 신혼여행 패키지의 일부로 호텔을 예약한 고객이 정중하게 문의하는 것처럼...

Ledger 펌웨어 업데이트 이메일 사기

피싱, 스팸
오늘날과 같이 위협이 높은 환경에서는 예상치 못한 이메일을 받을 때 특히 디지털 자산과 관련된 경우 경계를 늦추지 않는 것이 매우 중요합니다. 사이버 범죄자들은 신뢰받는 브랜드를 사칭하여 긴급성과 정당성을 가장하는 경우가 많습니다. 'Ledger 펌웨어 업데이트' 이메일 역시 이러한 수법의 일부이며, 유명 암호화폐 하드웨어 지갑 제공업체에서 발송된 것처럼 보이지만 어떠한 합법적인 회사, 기관 또는 단체와도 관련이 없습니다. 그럴듯해 보이지만 사기성 펌웨어 경고 'Ledger 펌웨어 업데이트' 이메일에 대한 상세 분석 결과, 해당 이메일은 공식 보안 알림으로 위장한 피싱 메시지인 것으로 확인되었습니다. 이 이메일은 디지털 화폐 보안에 사용되는 하드웨어 지갑을 제공하는 합법적인...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
37,193
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,214
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
30,632
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...