lazarusholic

Everyday is lazarus.dayβ

AhnLab EDR을 활용한 Play 랜섬웨어 공격 사례 탐지

2025-01-02, Ahnlab
https://asec.ahnlab.com/ko/85444/
#Andariel #Play #Ransomware

Contents

AhnLab EDR을 활용한 Play 랜섬웨어 공격 사례 탐지
Play 랜섬웨어는 Balloonfly 또는 PlayCrypt라고도 불리며 2022년 6월 최초로 확인된 이후 현재까지 전 세계에서 300개 이상의 조직을 공격한 것으로 알려져 있다. 파일 암호화 이후 “.PLAY” 확장자를 추가하는 것이 특징이며 최근까지도 활발하게 활동하고 있다. 다른 랜섬웨어 공격자들과 동일하게 시스템들을 암호화하기 전에 정보를 탈취하여 피해자를 협박하며 웹 사이트에서 공격당한 업체의 리스트들을 공개한다.
Figure 1. 공개된 기업 정보
Palo Alto Networks사의 Unit42의 보고서에 따르면 Play 랜섬웨어와 Andariel 그룹과의 협력 관계가 확인되기도 하였다. 해당 사례에서는 Andariel 그룹이 Sliver 및 DTrack이라는 이름의 악성코드를 악용해 정보를 탈취한 후 동일한 공격 인프라를 통해 Play 랜섬웨어 공격이 이루어졌다. 참고로 Andariel 그룹은 과거에도 SHATTEREDGLASS와 Maui라는 랜섬웨어를 공격에 사용하기도 하였다. [1] [2]
초기 침투 방식으로는 유효한 계정을 악용하거나 노출된 서비스의 취약점을 공격하는 것으로 알려져 있다. 대표적으로 MS 익스체인지 서버의 ProxyNotShell취약점(CVE-2022-41040, CVE-2022-41082)이나 FortiOS의 CVE-2020-12812, CVE-2018-13379 취약점이 확인된다.
여기에서는 Play 랜섬웨어 공격자의 알려진 공격 방식들을 소개하고 최초 침투 이후 조직을 장악해가는 과정에서 확인되는 공격 기법들에 대해 AhnLab EDR을 활용해 …