윈도우 시스템 관리자를 대상으로 한 랜섬웨어 작업이 Google 광고를 통해 Putty와 WinSCP의 가짜 다운로드 사이트를 홍보하고 있습니다. 이들은 윈도우 네트워크에서 높은 권한을 가진 시스템 관리자를 대상으로 하여 네트워크를 빠르게 퍼져나가 데이터를 도난하고, 네트워크의 도메인 컨트롤러에 접근하여 랜섬웨어를 배포하려는 위협 요소들에게 가치있는 목표가 됩니다. 최근 Rapid7의 보고서에 따르면, 검색 엔진 캠페인은 winscp나 putty를 다운로드하려는 검색 시 가짜 Putty와 WinSCP 사이트에 대한 광고를 표시했습니다.
이 광고들은 puutty[.]org, puutty[.]org, wnscp[.]net, vvinscp[.]net와 같은 오타스쿼팅 도메인 이름을 사용했습니다. 이 사이트들은 WinSCP의 합법적인 사이트(winscp[.]net)를 모방하고, 많은 사람들이 실제 사이트라고 생각하는 PuTTY(putty[.]org)의 비관련 사이트를 흉내냈습니다. 실제로 PuTTY의 공식 사이트는 https://www[.]chiark.greenend.org.uk/~sgtatham/putty/입니다. 이 사이트들은 검색 엔진이나 캠페인의 다른 사이트를 통해 참조되었는지에 따라 사용자를 합법적인 사이트로 리디렉션하거나 위협 요소의 서버에서 ZIP 아카이브를 다운로드하는 링크를 포함하고 있습니다.
다운로드된 ZIP 아카이브에는 윈도우용 Python의 합법적인 실행 파일인 Setup.exe와 악성 python311.dll 파일이 포함되어 있습니다. 사용자가 Setup.exe를 실행하면서 PuTTY나 WinSCP를 설치한다고 생각하면, 악성 DLL이 로드되어 암호화된 Python 스크립트를 추출하고 실행합니다. 이 스크립트는 결국 기업 네트워크에 초기 접근을 위해 사용되는 인기 있는 도구인 Sliver post-exploitation 툴킷을 설치합니다. Rapid7은 위협 요소가 Sliver를 사용하여 원격으로 추가 페이로드를 드롭하고, Cobalt Strike 비콘을 포함한다고 말했습니다. 해커는 이 접근을 통해 데이터를 유출하고 랜섬웨어 암호화기를 배포하려고 시도했습니다.
요약
- 윈도우 시스템 관리자를 대상으로 한 랜섬웨어 작업이 Google 광고를 통해 Putty와 WinSCP의 가짜 다운로드 사이트를 홍보하고 있다.
- 가짜 사이트들은 합법적인 사이트로 리디렉션하거나 위협 요소의 서버에서 ZIP 아카이브를 다운로드하는 링크를 포함하고 있다.
- 사용자가 악성 DLL을 로드하면, 암호화된 Python 스크립트가 추출되고 실행되어 Sliver post-exploitation 툴킷을 설치한다.
- 위협 요소는 이 접근을 통해 데이터를 유출하고 랜섬웨어 암호화기를 배포하려고 시도했다.
- 이러한 공격은 검색 엔진 광고가 많은 위협 요소들에 의해 악용되고 있음을 보여준다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.