업그레이드 되어 돌아온 블랙바스타 랜섬웨어, 그런데 랜섬웨어는 없다?

입력 : 2024-12-12 18:40

블랙바스타 랜섬웨어가 더 교묘한 소셜엔지니어링 전략을 등에 업고 나타났다. 그러면서 각종 멀웨어는 물론 합법적 관리 도구들도 활용하기 시작했다.

[보안뉴스 문정후 기자] 블랙바스타(Black Basta)라는 랜섬웨어 조직이 10월 경부터 활발히 움직이기 시작했다. 특히 소셜엔지니어링 공격에 집중하고 있는 모습을 보이고 있다고 보안 업체 라피드7(Rapid7)이 경고했다. 원래 이 캠페인이 시작된 건 5월이었는데, 8월부터 전략과 전술에 변화가 있었고, 그 새로운 방식의 공격이 활발히 적용된 게 10월부터라고 한다. 새로운 악성 코드와 멀웨어 배포 전략, 향상된 탐지 회피 기술 등이 눈에 띈다.


새로운 캠페인도 시작에 있어서는 기존 캠페인과 비슷하다는 게 라피드7의 설명이다. “공격자는 먼저 피해자들에게 이메일 폭탄을 보냅니다. 아주 많은 이메일이 피해자의 메일함에 도착하게 되며, 이 때문에 피해자들은 메일을 정상적으로 사용하기 어려워집니다. 그럴 때 공격자들은 피해자에게 접근하는데, 주로 MS 팀즈를 통해서 합니다. 일부 전화를 걸거나 문자 메시지를 보내는 경우도 있습니다. 접근하는 목적은 ‘지금 이메일에 문제가 생겼는데 내가 도움을 줄 수 있다’며 피해자를 꼬드기기 위해서입니다. 주로 피해자가 속한 회사의 IT 지원팀을 사칭하기 때문에 피해자가 속기 쉽습니다.”

이런 시도에 속아 피해자가 반응을 보이기 시작하면 공격자는 다음 단계의 작업에 착수한다. 원격 관리 도구를 설치하게 하는 것이다. 퀵어시스트(QuickAssist), 애니데스크(AnyDesk), 팀뷰어(TeamViewer), 레벨(Level), 스크린커넥트(ScreenConnect) 등 합법적인 도구들이 소개되니 피해자들로서는 의심하기 힘들다. “하지만 그게 전부가 아닙니다. 오픈SSH(OpenSSH) 클라이언트를 악용해 리버스셸을 설정하기도 했고, 큐알코드를 공유하기도 했습니다. 사용자의 크리덴셜을 확보해 다중인증 메커니즘을 통과하려 한 것으로 추정됩니다.”

여기까지는 피해자 시스템으로의 침투를 위한 시도다. 여기까지 성공했다면 그 다음은 악성 페이로드를 심어야 하는데, 그 방법은 다양한 것으로 조사됐다. 다음과 같은 것들이 있었다고 라피드7은 설명한다.
1) 침해된 셰어포인트(SharePoint) 인스턴스
2) 파일 공유 웹사이트
3) 호스팅 제공 업체를 통해 임대한 서버
4) 원격 관리 대행 도구 및 원격 제어를 통한 직접 업로드

페이로드를 심는 이유는 여러 목적을 달성하기 위해서인데, 그 목적 중 대표적인 것들은 다음과 같다.
1) 피해자 환경 내에 있는 각종 요소들을 빠르게 파악하고, 동시에 피해자의 크리덴셜을 빼돌린다.
2) VPN 설정 파일을 탈취한다.
3) 다중인증을 우회하여 VPN 정보와 크리덴셜을 사용해 네트워크에 더 깊숙하게 침투한다.

이런 목적을 달성하기 위해 블랙바스타는 여러 도구와 멀웨어를 사용하기도 했는데, 그 중 대표적인 건 다음과 같다.
1) 크리덴셜 수집기
2) 지봇(Zbot) : 일종의 멀웨어 로더
3) 다크게이트(DarkGate) : 일종의 멀웨어 로더
4) 코발트스트라이크의 비컨(Cobalt Strike Beacon)
5) 멀티스레드 비컨 : 파워셸을 원격에서 실행하는 기능

여기까지 보면 이상한 점이 존재한다. 랜섬웨어 단체인데 랜섬웨어 페이로드를 이용하지 않고 있다는 것이다. “랜섬웨어 공격자들이 빠르게 진화하고 있는데, 그 방향성을 엿볼 수 있습니다. 일단 합법적이고 정상적인 도구들을 적극 활용한다는 겁니다. 그게 아니더라도, 합법적으로 보이도록 도구를 위장시킨다는 걸 알 수 있습니다. 또 랜섬웨어 공격자들임에도 랜섬웨어로 피해자를 곤란하게 하는 것보다 정보 탈취에 더 힘을 주고 있다는 것도 눈에 띕니다.”

대응 방법
라피드7은 이들의 수법이 점점 더 교묘해지고 있다는 것에 유의해야 한다고 경고하며 다음과 같은 몇 가지 대응 방법을 제안하고 있다.
1) MS 팀즈를 통해 외부자가 내부자에게 연락하지 못하도록 MS 팀즈 설정을 조정한다. 외부 도메인을 차단한다거나 화이트리스트와 블랙리스트를 설정하는 방법 등으로 가능해진다.
2) 사용할 수 있는 원격 관리 도구를 지정하여, 그 도구만 사용할 수 있도록 정한다. 그러므로 승인되지 않은 외부 도구로 원격 관리를 하려는 시도를 원천적으로 봉쇄해야 한다.
3) 사용자 보안 인식 제고를 위한 교육을 진행한다. 특히 이번 캠페인의 핵심은 ‘소셜엔지니어링’이므로 그와 관련된 교육을 집중적으로 시행한다. 너무 많은 주제를 다루면 사용자들이 알아듣지 못한다.

3줄 요약
1. 다시 활동 시작한 블랙바스타, 정보 탈취에 더 집중.
2. 게다가 합법적인 도구를 활용하는 비율까지 높임.
3. 그래서 탐지가 더 어려워지고 있으니, 근본적인 방어 대책 필요.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  랜섬웨어 그룹 랜섬허브, 자사 사이트에 한국...

• 2

  더 안전한 AI 활용을 위한 Synology...

• 3

  CCTV 중기간 경쟁제품 재지정, 국산 보안...

• 4

  새 안드로이드 멀웨어 드로이드봇, 독특한 ...

• 5

  중국에서 활동 중인 미국 기업, 중국 해킹 ...

• 1

  올해 25주년 맞이하는 CVE 프로그램, ‘...

• 2

  매그니베르 랜섬웨어, 아직 죽지 않았다

• 3

  2024년 사이버보안 위협 정리해보니... ...

• 4

  새 안드로이드 멀웨어 드로이드봇, 독특한 ...

• 5

  종단간 암호화를 제공한다는 클라우드 서비스,...

• 1

  [2024 클라우드 보안 리포트] 달릴 준비...

• 2

  [긴급] ‘방첩사 작성한 계엄문건 공개’ 메...

• 3

  과기정통부, ‘제로트러스트 가이드라인 2.0...

• 4

  [단독] 한국지능정보사회진흥원, 7월 이어 ...

• 5

  트라이씨클 하프클럽 쇼핑몰, 해킹으로 입점사...