TRIPLESTRENGTH 그룹, 클라우드 크립토재킹 및 온프레미스 랜섬웨어 공격 수행

TRIPLESTRENGTH Hits Cloud for Cryptojacking, On-Premises Systems for Ransomware

 

• 공격 개요
  • Google은 금융 동기를 가진 공격 그룹 TRIPLESTRENGTH가 클라우드 환경을 대상으로 크립토재킹(Cryptojacking) 및 온프레미스 시스템을 대상으로 랜섬웨어 공격을 수행한다고 발표
  • 이 그룹은 클라우드 리소스를 탈취하여 암호화폐 채굴을 수행하는 한편, 온프레미스 환경에서는 랜섬웨어를 배포하여 금전적 이득을 취함
  • Google Cloud, AWS, Microsoft Azure, Linode, OVHCloud, Digital Ocean 등 다양한 클라우드 플랫폼의 접근 권한을 다른 공격자들에게 판매하는 행위도 확인됨
• 클라우드 환경 크립토재킹 공격
  • 공격자는 주로 탈취된 계정 정보(자격 증명 및 쿠키)를 이용해 클라우드 인스턴스에 접근
  • 탈취된 환경에서 CPU 및 GPU 최적화 채굴 알고리즘을 활용하여 unMiner 애플리케이션과 unMineable 마이닝 풀을 사용하여 암호화폐를 채굴
  • 최근 캠페인에서는 높은 권한을 가진 계정을 이용하여 공격자가 제어하는 계정을 클라우드 프로젝트의 결제 담당자로 초대, 대규모 컴퓨팅 리소스를 배포하여 채굴 작업을 수행
• 온프레미스 시스템 랜섬웨어 공격
  • 클라우드 환경에서는 크립토재킹을 수행하는 반면, 온프레미스 시스템을 대상으로는 Phobos, RCRU64, LokiLocker 등의 랜섬웨어를 배포
  • 특히, RCRU64 랜섬웨어는 해킹 관련 텔레그램 채널에서 랜섬웨어-서비스(Ransomware-as-a-Service, RaaS)로 광고되며 협력자를 모집하는 활동이 포착됨
  • 2024년 5월의 RCRU64 랜섬웨어 공격 사례
    • 공격자는 원격 데스크톱 프로토콜(RDP)을 통해 초기 접근
    • 측면 이동(Lateral Movement) 및 안티바이러스 우회 후 랜섬웨어 실행
    • 여러 개의 호스트를 감염시켜 금전적 이득을 추구
• 악성 행위 및 클라우드 접근권 판매
  • TRIPLESTRENGTH 그룹은 해킹된 서버와 클라우드 플랫폼에 대한 접근권을 텔레그램에서 판매
  • 대상에는 호스팅 제공업체 및 클라우드 플랫폼의 인프라가 포함됨
• Google의 대응 조치
  • MFA(다단계 인증) 강제 적용을 통해 계정 탈취 방지
  • 결제 관련 민감한 활동을 감지할 수 있도록 로그 기능 강화
  • 클라우드 및 온프레미스 환경에서 보안 모니터링을 강화하여 공격을 조기 탐지
• 보안 권고
  • 클라우드 보안
    • 다단계 인증(MFA) 필수 적용
    • API 키, 인증 토큰, 쿠키 등 자격 증명 보호 강화
    • 비정상적인 결제 관련 변경 사항 모니터링 및 알림 설정
  • 온프레미스 보안
    • 원격 데스크톱 프로토콜(RDP) 접근 제한 및 VPN 사용
    • 최신 랜섬웨어 탐지 및 대응 솔루션 적용
    • 보안 패치 및 취약점 점검 주기적 수행
  • 일반 보안 대응
    • 비인가 접근 탐지 및 이상 행위 분석을 위한 실시간 모니터링 강화
    • 암호화폐 채굴 탐지를 위한 리소스 사용 패턴 분석
    • 텔레그램 등 다크웹 및 해킹 포럼에서 공격 그룹 관련 정보를 주기적으로 수집하여 위협 대응
• 결론
  • TRIPLESTRENGTH 그룹은 클라우드 환경에서는 크립토재킹, 온프레미스에서는 랜섬웨어 공격을 병행하며 금전적 이득을 추구
  • 공격자는 탈취된 계정을 활용해 클라우드 리소스를 악용하며, 텔레그램을 통해 랜섬웨어 및 접근권을 판매하는 등의 행위도 확인됨
  • 기업과 조직은 클라우드 및 온프레미스 환경 전반에 걸쳐 다단계 인증, 보안 모니터링, 취약점 관리 등을 철저히 수행하여 공격을 방어해야 함