체크포인트 라는 보안기업이 The Gentlemen 이라는 랜섬웨어 조직이 조종하는 systemBC C2서버를 추적한 결과 1570개가 넘는 기업의 네트워크가 감염된 사실이 밝혀졌다고 말했다.
더 젠틀맨 🕴️
공격 방식은 다음과 같다.
- 윈도우 디펜더를 무력화하기 위해 파워쉘 스크립트를 밀어 넣어 실시간 감시 중단 및 방화벽 강제해제
- 그룹정책개체(GPO)를 악용해 도메인 전체를 장악하는 방법을 이용.
- 보안 벤더별 맞춤형 전술을 구사하는 등 타깃 환경을 정밀하게 사전에 정찰
- SystemBC 프록시 멀웨어를 통해 SOCKS5 네트워크 터널을 구축, 암호화된 통신으로 보안망의 감시를 회피해 추가 악성 페이로드 주입
뉴스기사에도 언급되어 있듯이 늦은 밤이나, 주말을 틈다 몇 시간 내에 전체 과정을 끝내는 속도전 형태로 진화하고 있다고 한다.
SystemBC ⚙️
GPT왈 한줄로 요약하면 백도어+프록시 기능을 가진 악성코드로써 감염된 PC를 해커의 중간 거점으로 만드는 악성코드라고 한다.
SOCKS5 프록시를 이용해 감염된 PC를 프록시 서버처럼 사용해서 해커가 해당 PC를 통해 다른 서버로 접속해 IP숨기기 + 추적회피를 수행한다.
추가적으로 PC를 감염시키면서 감염된 PC에 SystemBC 악성코드를 삽입해 SystemBC C2서버로부터 명령을 수행한다.
