중국 - ICBC(상업은행)에 대한 랜섬웨어 공격 사례

안녕하세요 시큐로깅입니다. 오늘은 중국의 최대 상업은행 중 하나인 ICBC (공상은행) 에서 랜섬웨어 공격이 발생 하였습니다.

이로 인해 미국 국채시장이 피해를 받았다고 합니다.

 

1.Over-View

 

ICBC 은행은 중국의 대표적인 상업은행 중 하나로, 중국에서 가장 큰 은행 중 하나입니다. 1984년에 설립되어, 중국에서 가장 큰 자산 규모를 보유한 금융 기관 중 하나입니다.

 

ICBC는 국제적인 은행으로 글로벌 네트워크를 통해 다양한 국가에서 서비를 제공 하고 있습니다.

주요 서비스로는 예금, 대출 , 신용카드 , 외환거래 , 투자 및 기업 금융 등이 있습니다.

 

이를 바탕으로 글로벌 경제에서 중요한 역할을 하는 중국의 금융기관 중 하나입니다.

 

2.공격사례

NO	Owner	Action
1	공격자	도메인 Administrator 계정 획득
2	공격자	내부 타 시스템에 랜섬웨어 파일 생성 및 Shared Folder 생성
3	공격자	DC서버 대상으로 랜섬웨어를 실행 시키는 원격 명령 수행
4	DC 서버	Windows Defender에 의해 랜섬웨어 탐지됨
5	공격자	도메인 Administrator 계정을 사용해 DC서버에 RDP로 접속
6	공격자	공유폴더의 랜섬웨어 파일을 피해 시스템의 바통화면으로 변환하여 직접 실행
7	Hive랜섬웨어	WIndows Defender 무력화 후 파일 암호화

 

이런 과정들을 통해 랜섬웨어가 동작하게 된다는 것을 알게 되었습니다.

*ASEC 보고서 잘 보고 있습니다.