Researchers Link CACTUS Ransomware Tactics to Former Black Basta Affiliates
- 공격자 전환 정황
- Trend Micro는 CACTUS 랜섬웨어 운영자들이 Black Basta 조직과 동일한 BackConnect(BC) 모듈을 사용하는 것을 확인
- 해당 모듈은 감염된 시스템에 대한 지속적 원격 제어 권한을 제공
- 이는 과거 Black Basta의 초기 접근 방식에서 CACTUS로의 전환 가능성을 시사
- QBACKCONNECT 모듈의 기술적 특징
- QBACKCONNECT는 QakBot 로더와 코드 유사성이 있어 QakBot 기반 모듈로 추정
- 악성 DLL 로더 REEDBED(winhttp.dll)를 Microsoft OneDrive 업데이트용 실행파일 OneDriveStandaloneUpdater.exe를 통해 사이드로딩
- 로더가 BC 모듈을 복호화하여 실행하며, 다양한 명령 실행, 인증 정보 탈취, 파일 접근 기능 수행
- 초기 침입 수법과 도구의 재활용
- Black Basta는 Quick Assist를 통한 사회공학 공격에 집중
- 이메일 폭탄으로 피해자를 혼란시킨 뒤 IT 지원팀을 사칭해 Quick Assist 설치 유도
- QakBot 기반 인프라 제거 후, 동일 접근을 CACTUS가 재사용하며 QBACKCONNECT로 전환
- CACTUS는 이후 lateral movement, 정보 탈취 등 사후 침투 활동까지 수행하였으나 암호화에는 실패한 사례도 존재
- Black Basta는 Quick Assist를 통한 사회공학 공격에 집중
- TotalExec 스크립트의 공통 사용
- PowerShell 기반 TotalExec 스크립트를 양 조직이 모두 사용
- 암호화기 자동 배포를 위한 자동화 도구로 확인됨
- 공격자 내부 구조 및 자격 증명 공유
- 최근 Black Basta 채팅 로그 유출을 통해 내부 인력 구조 및 TTP 공유 정황이 확인됨
- 일부 공격자는 정보 탈취 악성코드로부터 확보한 계정 정보를 공동 활용
- RDP 및 VPN 포털을 초기 침입 경로로 선호
- 결론
- Black Basta와 CACTUS는 QakBot 기반의 BackConnect 모듈, PowerShell 자동화, Quick Assist 악용 등에서 전술적 유사성을 보임
- 이는 공통된 인력 기반 또는 TTP 공유를 통한 조직 간 전환 가능성을 나타냄
- 조직은 Quick Assist 악용 시나리오, 원격 제어 모듈 탐지, 인증정보 유출에 대한 가시성 확보 및 방어체계 강화가 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 카카오 고객센터 사칭 및 개인정보위 사칭 피싱 사기 급증 (0) | 2025.03.30 |
|---|---|
| AI 기반 스팸·사기 방지, 안드로이드의 새로운 실시간 탐지 기능 (0) | 2025.03.25 |
| LLMjacking, 클라우드 기반 생성형 AI 대상 공격의 부상 (0) | 2025.03.25 |
| APT28의 고도화된 HTA 트로이목마 난독화 기법 분석 (0) | 2025.03.24 |
| AI 기반 인증정보 탈취(Credential Stuffing) 공격의 진화, Computer-Using Agent(CUA)의 위협 (0) | 2025.03.24 |