LARVA-208 Hackers Compromise 618 Organizations Stealing Logins and Deploying Ransomware
LARVA-208 Hackers Compromise 618 Organizations Stealing Logins and Deploying Ransomware
LARVA-208, also known as EncryptHub, has successfully infiltrated 618 organizations globally since June 2024.
gbhackers.com
- 공격 개요
- LARVA-208 (EncryptHub)은 2024년 6월 이후 618개 기관 침해
- 사회공학 기법을 활용한 자격증명 탈취 및 랜섬웨어 배포
- 주요 대상: 기업 네트워크 및 고가치 조직
- 공격 기법 및 침투 방식
- IT 담당자로 위장하여 VPN 자격증명 탈취 및 원격 모니터링과 관리(RMM) 소프트웨어 설치 유도 (AnyDesk, TeamViewer, Atera 등)
- 70개 이상의 VPN 서비스 도메인 위장 (Cisco AnyConnect, Palo Alto GlobalProtect, Fortinet 등)
- 일회용 패스코드(OTP) 실시간 탈취를 통한 다중요소인증(MFA) 우회
- PowerShell 기반 악성코드 배포 (StealC, Rhadamanthys, Fickle Stealer)
- 데이터 탈취 및 추가 공격
- 브라우저 저장 자격증명, 세션 쿠키, 시스템 정보 탈취 후 C2 서버로 전송
- 암호화폐 지갑 및 비밀번호 관리자를 추가 공격하여 피해 규모 확대
- 맞춤형 랜섬웨어 Locker.ps1 배포하여 파일 암호화 (AES 알고리즘 사용, .crypted 확장자 부여)
- 피해자에게 텔레그램을 통해 암호화폐 결제를 요구하는 랜섬 노트 전달
- RansomHub 및 BlackSuit 랜섬웨어 그룹과의 연계 가능성 제기
- 보안 취약점 악용 및 피해 확산
- Microsoft Teams의 오픈 리디렉트(Open Redirect) 취약점을 활용하여 자격증명 탈취
- 신뢰할 수 없는 호스팅 서비스를 이용해 피싱 사이트 운영하여 차단 회피
- 조직의 운영 마비 및 서비스 중단 유발
- 결론
- 직원 보안 인식 교육 및 사회공학 공격 대응 훈련 필수
- VPN 및 원격 접속 계정의 다중요소인증(MFA) 강화 및 비정상적인 로그인 탐지 필요
- Microsoft Teams 및 기타 협업 도구의 링크 리디렉션 모니터링 강화
- PowerShell 실행 제한 및 EDR 솔루션 활용한 실시간 위협 탐지 적용 권장
- 최신 랜섬웨어 동향 및 피싱 도메인 감시 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2025.03.07. IT&보안 기사 (0) | 2025.03.15 |
|---|---|
| 패치되지 않은 취약점과 제한된 EDR 가시성이 사이버 범죄 유인 (0) | 2025.03.15 |
| Squidoor 악성코드 분석, Outlook API, DNS 및 ICMP 터널링을 활용한 다중 벡터 공격 (0) | 2025.03.15 |
| Lotus Blossom 해킹 그룹의 Sagerunex 백도어 활용 및 클라우드 기반 C2 통신 전략 (0) | 2025.03.15 |
| 머신러닝 프로젝트가 실패하는 10가지 이유와 해결책 (0) | 2025.03.11 |