Trigona 랜섬웨어 공격, 맞춤형 exfiltration tool을 사용해 데이터 탈취

Source: Bleeping Computer

개요

최근 관찰된 Trigona 랜섬웨어 공격은 맞춤형 명령줄 도구를 사용해 손상된 환경에서 데이터를 더 빠르고 효율적으로 탈취하고 있습니다. 이 유틸리티는 3월에 발생한 공격에 사용되었으며, 일반적으로 보안 솔루션을 트리거하는 Rclone 및 MegaSync 같은 공개 도구를 피하기 위해 갱단 계열에 의해 사용된 것으로 추정됩니다.

Symantec 연구원들은 맞춤형 도구로 전환한 것이 공격자가 “공격의 중요한 단계에서 낮은 프로파일을 유지하기 위해 독점적인 악성코드에 시간과 노력을 투자하고 있다”는 신호일 수 있다고 보고 있습니다.

Trigona 랜섬웨어는 2022년 10월에 시작되어, 모네로(Monero)로 몸값을 요구하는 이중‑공갈( double‑extortion) 작전을 전개했습니다. 2023년 10월에 우크라이나 사이버 활동가들이 Trigona 작전을 방해하여 서버를 해킹하고 소스 코드 및 데이터베이스 레코드와 같은 내부 데이터를 탈취했지만, Symantec 보고서는 위협 행위자들이 다시 활동을 재개한 것으로 보인다고 전합니다.

맞춤형 탈취 도구

uploader_client.exe라는 이름의 이 도구는 하드코딩된 서버 주소에 연결되며 여러 성능 및 회피 기능을 포함합니다:

• 파일당 5개의 동시 연결을 지원해 병렬 업로드를 통한 데이터 탈취 속도 향상.
• 2 GB 트래픽이 발생할 때마다 TCP 연결을 회전시켜 모니터링을 회피.
• 대용량 저가치 미디어 파일을 제외하고 선택적인 파일 유형만 탈취하는 옵션.
• 외부인이 탈취된 데이터에 접근하지 못하도록 인증 키 사용.

한 사례에서는 이 탈취 도구를 이용해 네트워크 드라이브에 있는 인보이스 및 PDF와 같은 고가치 문서를 탈취했습니다.

위협 행위자 전술

Symantec이 최근 Trigona 공격을 관찰한 결과, 다단계 접근 방식을 확인했습니다:

1. **Huorong Network Security Suite (HRSword)**를 커널‑드라이버 서비스로 설치.

2. 보안 관련 제품을 비활성화할 수 있는 추가 도구 배포, 포함 항목:

   • PCHunter
   • Gmer
   • YDark
   • WKTools
   • DumpGuard
   • StpProcessMonitorByovd

   이들 중 다수는 취약한 커널 드라이버를 이용해 엔드포인트 보호 프로세스를 종료합니다. (Symantec source)

3. PowerRun을 사용해 애플리케이션, 실행 파일, 스크립트를 상승된 권한으로 실행해 권한 상승 수행, 사용자 모드 보호 우회.

4. AnyDesk를 통한 원격 접근으로 침해된 시스템을 직접 제어.

5. Mimikatz와 Nirsoft 유틸리티를 이용해 비밀번호 복구 작업을 수행, 자격 증명 탈취.

침해 지표 (IoC)

Symantec은 최신 Trigona 활동과 관련된 침해 지표(IoCs)를 보고서 하단에 나열했습니다. 보안 팀은 이러한 IoCs를 참고해 공격을 신속히 탐지하고 차단할 수 있도록 해야 합니다.