Ryuk 랜섬웨어, Windows MSHTML 버그 악용

Microsoft 보안 연구원들은 Windows 10 시스템의 MSHTML에 대한 현재 패치된 취약점이 이미 Ryuk 랜섬웨어를 사용하는 위협 행위자들에 의해 적극적으로 악용되었다고 경고했습니다.

Microsoft는 위험한 Ryuk 랜섬웨어를 사용하는 캠페인을 찾기 위해 RiskIQ의 보안 연구원과 공동으로 작업했습니다. 해커가 Microsoft가 이미 패치한 원격 코드 실행 결함을 악용하면 손상된 시스템에 랜섬웨어 페이로드를 배포합니다.

과거에 발견된 많은 유사한 취약점과 마찬가지로 이 취약점을 이용하려면 피해자가 악의적인 맞춤형 Microsoft Office 문서를 열어야 합니다. 우리는 이번 주 초 이번 달 패치 화요일에 Microsoft가 발표한 문제와 패치를 다뤘습니다. 문제의 버그로 인해 악의적인 행위자가 Office 문서에 악의적인 ActiveX 컨트롤을 삽입할 수 있었고, 이 컨트롤은 피해자의 시스템을 손상시키는 데 사용되었습니다.

이 Ryuk 캠페인에 대한 연구에 따르면 해커는 처음에 CVE-2021-40444 MSHTML 취약점을 사용한 다음 Cobalt Strike 비콘 로더를 배포합니다. 로더는 차례로 범죄자의 인프라와 통신합니다. 이는 과거 여러 랜섬웨어 공격에 사용된 것과 동일한 것입니다.

RiskIQ에 따르면 이 최신 공격에 사용된 인프라는 Ryuk을 사용하는 랜섬웨어 복장인 Wizard Spider가 운영하며 러시아에서 운영되는 것으로 추정됩니다. 연구원들은 패턴에 대한 결론을 기반으로 했으며 서버는 이 최신 공격자와 Wizard Spider 사이에 겹치는 지점을 사용합니다.

Ryuk은 오늘날에도 여전히 사용되는 가장 악명 높은 랜섬웨어 변종 중 하나입니다. 2018년부터 존재했으며 운영자는 세간의 이목을 끄는 성공적인 여러 공격으로부터 수백만 달러의 몸값을 받았습니다. Ryuk 과 이를 운영하는 갱단은 REvil과 DarkSide 그룹이 금년에 콜로니얼 파이프라인(Colonial Pipeline) 과 가장 최근에는 Kaseya에 대한 REvil 공격을 포함한 몇 가지 세간의 이목을 끄는 공격으로 헤드라인을 장식함에 따라 한 걸음 물러섰습니다.