유명 랜섬웨어 그룹의 내부 통신 유출…주요 공격 벡터는?
유명 랜섬웨어 그룹의 내부 통신 유출…주요 공격 벡터는?
지난 몇 년 동안 가장 성공적인 랜섬웨어 그룹이었던 블랙 바스타(Black Basta)의 최근 내부 커뮤니케이션이 대규모로 유출되었다. 보안 연구원의 분석에 따르면 커뮤니케이션 로그로 유명 랜섬웨
www.itworld.co.kr
- 주요 공격 벡터
- RDP(원격 데스크톱 프로토콜)와 VPN 서비스 스캔 후 취약 시스템 탐색
- 기본 자격 증명 또는 무차별 대입을 통한 초기 침투
- 패치되지 않은 시스템을 대상으로 알려진 취약점(CVE) 악용
- 피싱, 스팸 캠페인을 통한 이메일 계정 탈취 및 내부 정보 정찰
- 공개된 취약점 정보
- 유출 로그 내 62개 고유 CVE 존재
- 이 중 53개는 이미 악용 사례 존재
- 44개는 미국 CISA의 KEV(Exploit Catalog)에도 등재
- 대표적 악용 취약점
- CVE-2022-30190 (Follina)
- CVE-2021-44228 (Log4Shell)
- CVE-2022-22965 (Spring4Shell)
- CVE-2022-41040 / 41028 (ProxyNotShell)
- 포티넷(CVE-2024-23113), 브릭스빌더(CVE-2024-25600), Exim(CVE-2023-42115) 등 최신 취약점도 언급
- 유출 로그 내 62개 고유 CVE 존재
- 내부 커뮤니케이션 분석 내용
- 신규 취약점 발생 시 신속히 논의 및 활용 계획 수립
- 일부 제로데이(0-day) 익스플로잇 구매 또는 자체 개발 가능성 시사
- 공격 도구 및 프레임워크 다수 사용
- 줌인포, 쇼단, 코발트 스트라이크, 메타스플로잇, ChatGPT 등 적극 활용
- 설정 취약점 및 잘못된 구성
- SMBv1 활성화된 레거시 시스템
- 공개된 VPN, 라우터, 서버 및 IoT 장비
- 필터링되지 않은 RDP 포트, 공용 AWS S3 버킷
- 젠킨스(Jenkins), MSSQL, Citrix Netscaler의 설정 오류
- DNS 정보 노출 및 하위 도메인 취약점 활용
- 인포스틸러 기반 공격 연계
- 인포스틸러로 수집된 로그인 자격 증명 재활용
- 피해자 컴퓨터에서 수개월 전에 수집된 자격 증명을 활용해 수일 내 침해 성공
- 자격 증명 수집 → 측면 이동 → 데이터 유출 → 랜섬웨어 배포의 일관된 전술 체계
- 한 인포스틸러 로그에 포함된 수십 개 자격 증명이 고객사 침해로 확산되는 등 공급망 공격 우려
- 인포스틸러로 수집된 로그인 자격 증명 재활용
- 결론
- 블랙 바스타의 침해 전략은 고도로 체계화되어 있으며, 다양한 초기 액세스 벡터와 최신 취약점 정보를 기반으로 빠른 침투가 가능
- 공격자는 인포스틸러 기반 자격 증명을 선별해 공격 가능성이 높은 대상을 골라 집중 공략
- 기업은 최신 CVE 대응뿐 아니라 자격 증명 탈취 대응 전략 및 IT-OT 전반의 구성 취약점 점검이 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2025 AI 위협 환경 분석 보고서 요약 (0) | 2025.03.31 |
|---|---|
| Eleven11bot 봇넷, 86,000개 이상의 IoT 기기 감염 (0) | 2025.03.31 |
| Silk Typhoon, IT 공급망을 겨냥한 공격 전술 전환 (0) | 2025.03.31 |
| 사상 최고 수준의 직원 모니터링, 신뢰를 유지하는 도입 전략 (0) | 2025.03.31 |
| AI 에이전트 확산에 따른 복잡성과 보안 이슈 (0) | 2025.03.30 |