랜섬웨어 그룹, 마이크로소프트 오피스 365 악용한 공격

Two ransomware groups abuse Microsoft’s Office 365 platform to gain access to target organizations

Two ransomware groups abuse Microsoft’s Office 365 platform to gain access to target organizations

 

• 랜섬웨어 그룹의 공격 방식
  • STAC5143, STAC5777 두 개의 위협 그룹이 Microsoft 365 서비스 및 기본 설정을 악용
  • 공격자는 자신들의 Microsoft 365 테넌트를 사용하여 Teams의 기본 외부 메시징 기능을 이용
  • STAC5777의 전술(TTPs)은 Storm-1811(마이크로소프트 추적 위협 그룹)과 유사
  • STAC5143는 Storm-1811을 모방한 신규 위협 그룹, FIN7(Sangria Tempest, Carbon Spider) 연계 가능성
• 공격 기법 및 절차
  • STAC5143의 전술
    • Teams 원격 제어 기능 악용, 피해자의 화면을 원격으로 조작
    • Java 기반 도구 활용, Python 백도어를 포함한 악성 ZIP 파일 실행
    • 원격 SharePoint 링크를 통해 악성 페이로드 다운로드
    • FIN7 관련 전술 적용
  • STAC5777의 전술
    • Microsoft Quick Assist 및 수동 설정 변경을 통해 악성코드 배포
    • 합법적인 Microsoft 업데이트 파일과 악성 DLL(winhttp.dll) 연계하여 지속성 확보
    • RDP 및 Windows Remote Management 활용해 네트워크 확산
    • Black Basta 랜섬웨어 배포 사례 존재
• 공통 공격 기법
  • 스팸 이메일 폭탄 공격 (최대 1시간 내 3,000건)
  • Teams 메시지 및 전화로 기술 지원 사칭
  • Microsoft 원격 지원 도구 사용하여 악성코드 설치
• 실제 공격 사례
  • STAC5143 사례(2024년 11월 최초 탐지)
    • 스팸 이메일 발송 → Teams에서 "Help Desk Manager" 사칭
    • 피해자로부터 Teams 원격 화면 제어 요청
    • PowerShell 실행으로 ProtonVPN 및 악성 DLL 다운로드
    • Python 백도어 설치 및 시스템 정보 탈취
  • STAC5777 사례
    • 스팸 이메일 발송 → 내부 IT 지원팀 사칭한 Teams 메시지
    • 피해자를 유도하여 Microsoft Quick Assist 설치 및 원격 제어 활성화
    • 공격자는 웹 브라우저를 이용해 악성 페이로드 다운로드 및 실행
    • PowerShell을 활용한 백도어 설치 및 시스템 설정 변경
• 보안 권고
  • Teams 보안 설정 강화
    • 외부 조직의 Teams 메시지 차단 또는 신뢰할 수 있는 파트너로 제한
  • Quick Assist 및 원격 지원 애플리케이션 제한
    • 조직 내부 기술 지원팀 이외의 사용 금지
    • Sophos Endpoint Protection에서 Quick Assist 실행 차단 가능
  • Office 365 보안 모니터링 활성화
    • Teams 및 Outlook에서 악성 트래픽 감지 및 차단
  • 사내 직원 보안 교육 강화
    • IT 지원팀 확인 절차 숙지
    • 긴급성을 강조하는 사회공학적 공격 기법 경계
• 결론
  • Teams 및 Microsoft 원격 지원 도구를 활용한 새로운 랜섬웨어 공격 증가
  • 기업은 기본 보안 설정 점검 및 원격 지원 정책을 강화할 필요
  • 보안 솔루션 및 직원 인식 교육을 통해 대응 능력 향상 필수