[오늘의 보안] AvosLocker 랜섬웨어
<2줄 요약>
- AvosLocker는 오픈 소스 원격 시스템 관리 도구와 LotL(living off-the-land)에 의존하여 흔적을 남기지 않고 조직의 네트워크를 손상
- Mozilla를 사칭하여 Thunderbird의 트로이 목마 버전을 설치하도록 속이는 악성 광고 캠페인을 활용하여 악성파일 배포 중
LotL : PowerShell, WMI또는 암호 저장 도구인 Mimikatz 등 대상 컴퓨터에 설치된 도구를 사용하여 공격 수행
https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html
FBI, CISA Warn of Rising AvosLocker Ransomware Attacks Against Critical Infrastructure
The FBI and CISA issue advisory on AvosLocker ransomware gang. They use open-source tools, leave minimal traces.
thehackernews.com
- 합법적인 소프트웨어와 오픈 소스 원격 시스템 관리 도구를 사용하여 조직의 네트워크를 손상시킴
- Windows, Linux 및 VMware ESXi 환경에 영향을 미치고 PowerShell 및 Windows Batch 스크립트를 사용하여 권한 상승 및 보안 소프트웨어 해제
- NetMonitor.exe라는 실행 파일을 사용하여 네트워크 외부에서 피해자에 연결할 수 있도록 하는 역방향 프록시 역할을 함