Defense Lessons From the Black Basta Ransomware Playbook | Qualys Security Blog
Defense Lessons From the Black Basta Ransomware Playbook | Qualys Security Blog
The cybersecurity world was rocked last week by a massive leak of Black Basta’s internal communications that emerged from the group’s chat logs. Triggered by internal conflicts and a retaliatory data…
blog.qualys.com
- Black Basta 공격 분석
- 최근 유출된 Black Basta 내부 채팅 기록을 통해 공격 전술 및 운영 방식을 파악
- 공격 그룹은 주로 RDP 서버와 VPN 서비스의 노출된 취약점을 이용해 초기 접근을 시도
- 취약한 인증 메커니즘과 오래된 CVE(공개된 취약점)를 활용해 시스템을 침투
- 주요 공격 기법
- 공격 벡터
- 노출된 RDP 및 VPN 서비스 스캔
- 공개된 취약점(CVEs) 악용
- MSI 및 VBS 기반 악성 드로퍼 사용
- Rundll32.exe를 통한 악성 DLL 실행
- 취약점 목록 (상위 20개 CVE)
- CVE-2022-30190 (Follina, Microsoft Office)
- CVE-2021-44228 (Log4Shell, Apache Log4j)
- CVE-2022-22965 (Spring4Shell, Spring Framework)
- CVE-2022-1388 (F5 BIG-IP)
- CVE-2024-21762 (Fortinet SSL VPN)
- 그 외 다양한 Microsoft, Zimbra, Atlassian, Zyxel 관련 취약점 포함
- 공격 벡터
- 주요 취약한 설정 및 권장 조치
- SMBv1 사용: 모든 Windows 서버에서 비활성화 권장
- 기본 자격 증명 사용: 서버, 라우터, VPN, IoT 장비 모두 검토 필요
- VPN 설정 강화: Cisco, Fortinet, GlobalProtect 환경에서 강력한 인증 적용
- 노출된 RDP 차단: IP 필터링 및 다중 인증(MFA) 적용
- 공개 S3 버킷: AWS 접근 제어 목록(ACL) 검토 및 설정 강화
- 초기 접근 방법
- 자격 증명 탈취 및 서비스 악용
- 피싱, 공급망 공격, 다크웹 구매를 통한 자격 증명 확보
- Shodan, Fofa와 같은 자동화 스캐너를 활용해 노출 서비스 식별
- Jenkins CI/CD, VMware ESXi, Citrix 게이트웨이, VPN 서비스 등을 공격
- 자격 증명 탈취 및 서비스 악용
- 데이터 탈취 및 사회 공학 기법
- 데이터 아카이브 및 추출
- 주요 타겟: 법률 및 금융 문서
- 맞춤형 툴을 사용해 자동화된 데이터 추출 수행
- 사회 공학 공격
- IT 지원 직원으로 가장해 전화 피싱 수행
- 직원으로부터 인증 정보 획득 시도
- 데이터 아카이브 및 추출
- 빠른 대응 필요성
- Black Basta는 네트워크 초기 침투 후 수 시간 내에 전체 시스템을 장악
- 자동화된 스크립트를 활용해 보안 툴 비활성화, 랜섬웨어 배포 등 수행
- 보안 권고
- 즉시 패치: Top 20 CVEs를 포함한 모든 취약점을 신속히 업데이트
- 계정 보안 강화: 다중 인증(MFA) 적용 및 비정상 로그인 탐지 강화
- 공격 표면 최소화
- RDP, VPN 서비스 노출 차단
- 필요 없는 포트 및 서비스 비활성화
- 데이터 백업 및 복구 계획 마련
- 오프라인 백업 유지 및 정기적인 복구 테스트 수행
- 결론
- 사이버 공격자들은 빠르게 진화하고 있음
- 미리 예방하고 선제적으로 대응하는 것이 랜섬웨어 피해 최소화의 핵심
- 자동화된 보안 도구 활용과 위협 인텔리전스 업데이트가 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
과기정통부, '데이터 품질인증 가이드라인' 발간 (0) | 2025.03.09 |
---|---|
NHN클라우드 서버 장애로 지자체 홈페이지 마비(2025.02.26.) (0) | 2025.03.09 |
Windows 정책 허점을 악용한 대규모 악성코드 배포 캠페인 (0) | 2025.03.08 |
Outlook 스팸 필터 우회해 악성 ISO 파일 배포하는 새로운 해킹 기법 (0) | 2025.03.08 |
OpenAI o1/o3, DeepSeek-R1, Gemini 2.0 Flash 모델의 H-CoT 기법을 활용한 보안 우회 공격 (0) | 2025.03.08 |