아키라 랜섬웨어, 웹캠 보안 취약점 통해 EDR 우회한 공격 사례

웹캠 보안 취약점으로 EDR 우회한 랜섬웨어 공격 발견 - 아이티데일리

웹캠 보안 취약점으로 EDR 우회한 랜섬웨어 공격 발견 - 아이티데일리

 

• 공격 개요
  • 랜섬웨어 조직 아키라(Akira)가 웹캠 및 IoT 기기의 보안 취약점을 이용해 EDR(엔드포인트 탐지 및 대응) 솔루션을 우회한 공격 기법이 보고됨
  • 공격자는 EDR이 탐지하는 일반적인 윈도우 기반 경로가 아닌 웹캠 장치를 악성코드 전파 통로로 사용하여 랜섬웨어 페이로드를 배포
• 공격 흐름 및 기법
  • 초기 접근: 탈취된 자격증명 또는 크리덴셜 스터핑으로 원격 접속
  • 내부 확장: AnyDesk 설치 후 RDP(Remote Desktop Protocol) 사용
  • 페이로드 전달 실패: 압축된 win.exe를 서버에 배포하려다 EDR에 의해 차단
  • EDR 우회: 내부 IoT 기기 중 보안 취약한 웹캠 및 지문인식기 탐색
    • 웹캠의 리눅스 기반 운영체제, EDR 미탑재, 원격 셸 기능 등 활용
  • 최종 공격: 웹캠을 경유한 랜섬웨어 배포 성공
• 주요 취약점 요인
  • IoT 장비에 대한 EDR 모니터링 미적용
  • 경량 OS 및 원격 기능 탑재된 웹캠 등 보안 강화 어려운 장치
  • 조직 내 IoT 트래픽에 대한 비가시성 및 탐지 한계
• 보안 권고
  • 전통적인 EDR 기반 탐지 체계의 우회 가능성 입증
  • IoT 장비도 랜섬웨어 침투 경로가 될 수 있으며, 이를 위한 트래픽 모니터링 및 장비 상태 감시 체계 필요
  • 사용하지 않는 IoT 장비는 전원 차단, 네트워크 세분화(Segmentation)를 통한 수평 이동 방지
  • EDR/SIEM과의 통합 운영 시, IoT 장비에 대한 예외 트래픽 및 포트 기반 이상 탐지 룰 추가 필요
  • IoT 자산에 대한 주기적 보안점검 및 보안 패치 적용
• 결론
  • 아키라 그룹은 조직의 보안 사각지대인 IoT 영역을 정확히 노린 고도화된 공격을 수행
  • 보안 정책은 엔드포인트뿐만 아니라 IoT까지 확장돼야 하며, 제로 트러스트(Zero Trust) 및 MDR(Managed Detection and Response) 도입도 고려 필요