Leaked Black Basta Ransomware Chat Logs Reveal Inner Workings and Internal Conflicts
- 사건 개요
- Black Basta 랜섬웨어 그룹의 내부 채팅 로그가 유출되며 내부 갈등과 공격 기법이 드러남
- 채팅 로그는 2023년 9월 18일부터 2024년 9월 28일까지의 러시아어 채팅 기록 포함
- 익명의 인물 ExploitWhispers가 2025년 2월 11일 데이터를 유출, 그룹이 러시아 은행을 타겟으로 삼은 것에 대한 불만이 원인
- 내부 갈등과 조직 구조
- 주요 관리자 Lapa, 지원 업무 담당 YY, QakBot 그룹과 관련된 Cortes
- 그룹의 실질적 리더 Oleg Nefedov, Trump, GG, AA 등의 가명 사용
- 과거 Conti 랜섬웨어 조직에서 활동했던 인물들 포함
- 내부 갈등으로 인해 주요 인물들이 CACTUS, Akira 랜섬웨어 그룹으로 이동
- 내부 갈등의 중심에 Tramp (LARVA-18)라는 인물 존재, QBot 스팸 네트워크 운영자
- 공격 기법과 보안 취약점 악용
- 주요 공격 기법
- SMB 설정 오류, RDP 서버 노출, 약한 인증 메커니즘 악용
- 기본 VPN 자격 증명 사용 또는 도난된 자격 증명을 통한 무차별 대입 공격
- 멀웨어 드로퍼를 활용해 악성 페이로드 배포
- 정상적인 파일 공유 플랫폼(예: transfer.sh, temp.sh, send.vis.ee)을 이용해 탐지 회피
- 주요 CVE 목록
- CVE-2021-26855: Microsoft Exchange Server 원격 코드 실행 (ProxyLogon)
- CVE-2021-44228: Apache Log4j 원격 코드 실행 (Log4Shell)
- CVE-2022-30525: Zyxel 방화벽 OS 명령어 삽입 취약점
- CVE-2022-41082: Microsoft Exchange Server 원격 코드 실행
- CVE-2023-4966: Citrix NetScaler ADC 버퍼 오버플로우 (Citrix Bleed)
- CVE-2023-20198: Cisco IOS XE 웹 UI 권한 상승
- CVE-2024-1709: ConnectWise ScreenConnect 인증 우회
- 주요 공격 기법
- 랜섬웨어 그룹 동향 및 시사점
- Black Basta는 빠른 공격 속도로 초기 접근부터 네트워크 전체 손상까지 수 시간 내 진행
- 사회 공학 기법 적극 활용, Scattered Spider 공격 성공 사례를 모방
- Cl0p 랜섬웨어 그룹, Ghost 그룹과 함께 데이터 유출 및 랜섬웨어 공격 지속
- 보안 권고
- 취약점 패치 관리 강화: CVE 목록에 포함된 소프트웨어의 최신 보안 패치 적용
- SMB 및 RDP 설정 검토, VPN 자격 증명 강화
- PowerShell, WMIC, Cobalt Strike 사용 행위 모니터링
- 서버 및 네트워크 로그 분석을 통한 비정상적인 활동 탐지
- 행동 기반 탐지 시스템 도입으로 AI 기반 위협에 대응
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| macOS 대상 트로이 목마, 'Poseidon' 악성코드의 새로운 침투 기법 (0) | 2025.03.10 |
|---|---|
| 새로운 리눅스 악성코드 'Auto-Color', 시스템 원격 제어 허용 (0) | 2025.03.10 |
| 새로운 은닉 배치 스크립트, PowerShell 및 Visual Basic을 사용하여 XWorm 설치 (0) | 2025.03.10 |
| LockBit 랜섬웨어 그룹, FBI 국장에게 "기밀 정보" 유출 위협 (1) | 2025.03.10 |
| 공공기관 클라우드가 기업 클라우드에서 배워야 할 것 (0) | 2025.03.10 |