Kant's IT/Issue on IT&Security
아키라 랜섬웨어, 웹캠 보안 취약점 통해 EDR 우회한 공격 사례
Kant Jo
2025. 4. 16. 11:00
웹캠 보안 취약점으로 EDR 우회한 랜섬웨어 공격 발견 - 아이티데일리
웹캠 보안 취약점으로 EDR 우회한 랜섬웨어 공격 발견 - 아이티데일리
[아이티데일리] 세계적인 사이버공격 조직 아키라(Akira) 랜섬웨어 그룹이 웹캠(Webcam) 내 보안 취약점을 이용, 엔드포인트 탐지 및 대응(EDR) 솔루션을 우회해 네트워크에 암호화 공격을 시도한 사
www.itdaily.kr
- 공격 개요
- 랜섬웨어 조직 아키라(Akira)가 웹캠 및 IoT 기기의 보안 취약점을 이용해 EDR(엔드포인트 탐지 및 대응) 솔루션을 우회한 공격 기법이 보고됨
- 공격자는 EDR이 탐지하는 일반적인 윈도우 기반 경로가 아닌 웹캠 장치를 악성코드 전파 통로로 사용하여 랜섬웨어 페이로드를 배포
- 공격 흐름 및 기법
- 초기 접근: 탈취된 자격증명 또는 크리덴셜 스터핑으로 원격 접속
- 내부 확장: AnyDesk 설치 후 RDP(Remote Desktop Protocol) 사용
- 페이로드 전달 실패: 압축된 win.exe를 서버에 배포하려다 EDR에 의해 차단
- EDR 우회: 내부 IoT 기기 중 보안 취약한 웹캠 및 지문인식기 탐색
- 웹캠의 리눅스 기반 운영체제, EDR 미탑재, 원격 셸 기능 등 활용
- 최종 공격: 웹캠을 경유한 랜섬웨어 배포 성공
- 주요 취약점 요인
- IoT 장비에 대한 EDR 모니터링 미적용
- 경량 OS 및 원격 기능 탑재된 웹캠 등 보안 강화 어려운 장치
- 조직 내 IoT 트래픽에 대한 비가시성 및 탐지 한계
- 보안 권고
- 전통적인 EDR 기반 탐지 체계의 우회 가능성 입증
- IoT 장비도 랜섬웨어 침투 경로가 될 수 있으며, 이를 위한 트래픽 모니터링 및 장비 상태 감시 체계 필요
- 사용하지 않는 IoT 장비는 전원 차단, 네트워크 세분화(Segmentation)를 통한 수평 이동 방지
- EDR/SIEM과의 통합 운영 시, IoT 장비에 대한 예외 트래픽 및 포트 기반 이상 탐지 룰 추가 필요
- IoT 자산에 대한 주기적 보안점검 및 보안 패치 적용
- 결론
- 아키라 그룹은 조직의 보안 사각지대인 IoT 영역을 정확히 노린 고도화된 공격을 수행
- 보안 정책은 엔드포인트뿐만 아니라 IoT까지 확장돼야 하며, 제로 트러스트(Zero Trust) 및 MDR(Managed Detection and Response) 도입도 고려 필요