4년간 70여 개국 공격…FBI·CISA, 랜섬웨어 그룹 ‘고스트’ 경고
4년간 70여 개국 공격…FBI·CISA, 랜섬웨어 그룹 ‘고스트’ 경고
FBI와 CISA가 지난 4년간 70여 개국에 있는 조직을 상대로 사이버 공격을 감행한 중국의 랜섬웨어 그룹 고스트(Ghost) 활동에 대해 공동 권고문을 발표했다. 고스트 그룹은 2021년 초 활동을 개시했으
www.itworld.co.kr
- 고스트(Ghost) 그룹 개요
- 2021년 초부터 활동 시작, 최근까지 공격 지속
- 70여 개국의 주요 인프라, 학교, 의료기관, 정부 네트워크, 기업 등을 공격
- 랜섬웨어 페이로드, 이메일 주소, 암호화된 파일 확장자 등을 정기적으로 변경
- 주요 공격 방법 및 취약점 악용
- 인터넷에 노출된 웹 애플리케이션, 서버, 하드웨어 기기의 취약점 악용
- 주요 타깃 취약점
- 포티넷 포티OS(FortiOS) SSL VPN 포털의 경로 탐색 취약점(CVE-2018-13379)
- 어도비 콜드퓨전(ColdFusion)의 디렉토리 탐색 및 XML 삽입 결함(CVE-2010-2861, CVE-2009-3960)
- 마이크로소프트 셰어포인트 원격 코드 실행 취약점(CVE-2019-0604)
- 익스체인지 서버의 프록시셸(ProxyShell) 공격 체인(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
- 공격 도구 및 기술
- 웹 셸(Web Shell) 설치 후 추가 페이로드 배포
- 코발트 스트라이크(Cobalt Strike) 비콘 사용
- 다양한 오픈소스 도구 활용
- IOX: 프록시 서버 은폐
- SharpShares.exe: 네트워크 공유 탐지
- SharpZeroLogon.exe: 제로 로그온(Zero Logon, CVE-2020-1472) 취약점 악용
- Mimikatz: 자격 증명 덤프 도구
- 공격 패턴 및 특징
- 피해 네트워크에 며칠간만 머무르며, 초기 감염 당일 랜섬웨어 배포
- 데이터 유출보다 암호화 공격에 집중
- 강력한 암호화 알고리즘 사용, 복구 불가능하게 만듦
- 윈도우 이벤트 로그 삭제, VSS 복사본 제거 및 비활성화
- 보안 권고
- 취약점 패치 및 최신 보안 업데이트 적용
- 네트워크 분할(Network Segmentation)을 통한 횡적 이동 방지
- 강력한 인증 및 접근 통제 구현
- 윈도우 이벤트 로그 및 시스템 로그의 정기적 모니터링
- 안티 바이러스 및 엔드포인트 보안 솔루션 사용
- 침해 지표(IOC) 모니터링: 도메인 이름, 파일 해시, 이메일 주소, 마이터어택(MITRE ATT&CK) TTP
- 결론
- 고스트와 같은 고도화된 위협에 대비한 제로 트러스트 보안 모델 도입 필요
- 지속적 모니터링과 위협 인텔리전스를 활용한 빠른 대응 체계 구축
- 조직 내 임직원 대상 피싱 및 보안 교육 강화
- 랜섬웨어 공격 대응을 위한 데이터 백업 및 복구 계획 마련
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 글로벌 보안 이슈 (2025.02.25.) (1) | 2025.03.07 |
|---|---|
| 중소기업 정보유출 사고 원인과 제로 트러스트 보안 모델 도입 필요성 (0) | 2025.03.07 |
| 중국 보안업체 탑섹(TopSec) 유출 사건 (0) | 2025.03.07 |
| 삼성전자 개인정보처리방침 사실관계 미반영 (0) | 2025.03.07 |
| LLM(대형 언어 모델) 악용을 통한 개인정보 탈취 및 피싱 공격 가능성 (0) | 2025.03.07 |