Black Basta 랜섬웨어, 새로운 소셜 엔지니어링 전술 활용
진화하는 전략으로 유명한 Black Basta 랜섬웨어 그룹은 2024년 10월부터 새로운 페이로드 전달 방법을 채택했습니다. 기존 랜섬웨어 캠페인과 함께 이제 Zbot 및 DarkGate와 같은 위협을 배포하여 침해 대상에 대한 접근 방식에 대한 계산된 변화를 보여줍니다.
목차
소셜 엔지니어링과 이메일 폭격의 만남
Black Basta는 이메일 폭격을 첫 번째 단계로 사용하여 타겟을 압도합니다. 이 전술은 피해자의 이메일을 수많은 메일링 목록에 가입시켜 합법적인 커뮤니케이션을 스팸 홍수에 효과적으로 잠식하는 것을 포함합니다. 이메일 폭격 후 공격자는 영향을 받은 사용자에게 직접 연락하여 혼란을 유리하게 활용합니다.
익숙한 플랫폼에서의 사칭
2024년 8월에 관찰된 주목할 만한 전술은 공격자가 Microsoft Teams와 같은 플랫폼에서 IT 직원이나 지원 인력으로 가장하는 것입니다. 신뢰할 수 있는 내부자로 가장함으로써 그들은 타겟이 추가 상호 작용에 참여하도록 설득합니다. 어떤 경우에는 공격자가 타겟 조직의 실제 IT 직원을 사칭하여 신뢰성을 증폭하기도 합니다.
침해를 위한 원격 액세스 도구 활용
피해자들은 종종 AnyDesk, TeamViewer 또는 Microsoft의 Quick Assist와 같은 합법적인 원격 액세스 소프트웨어를 설치하도록 속습니다. 이러한 도구가 설치되면 공격자에게 시스템을 제어할 수 있는 권한을 부여합니다. Microsoft의 보안 팀은 Storm-1811이라는 식별자로 Quick Assist를 악용하는 사이버 범죄 그룹을 추적합니다.
역쉘과 위협적인 QR 코드
공격자는 원격 액세스 도구 외에도 OpenSSH 클라이언트를 사용하여 역방향 셸을 구축하여 손상된 시스템을 제어할 수 있습니다. 또 다른 방법은 신뢰할 수 있는 모바일 기기를 추가한다는 명목으로 채팅 플랫폼을 통해 악성 QR 코드를 보내는 것입니다. 이러한 QR 코드는 피해자를 유해한 인프라로 리디렉션하거나 자격 증명을 훔칠 가능성이 높습니다.
페이로드 전달: 신원 정보 도용 및 후속 공격
액세스가 확립되면 공격자는 사용자 지정 자격 증명 수집기, Zbot 또는 DarkGate와 같은 추가 페이로드를 배포합니다. 이러한 도구를 사용하면 자격 증명을 수집하고 피해자의 환경을 열거하고 추가 공격의 무대를 설정할 수 있습니다. VPN 구성 파일의 도난과 손상된 자격 증명을 결합하면 공격자가 다중 요소 인증을 우회하고 대상의 네트워크에 직접 액세스할 수도 있습니다.
블랙 바스타의 기원과 무기고
Black Basta는 Conti 랜섬웨어 갱단이 해체된 후 2022년에 독립 그룹으로 등장했습니다. 처음에는 QakBot 봇넷에 의존했지만, 그 이후로 그룹은 다양화되어 정교한 소셜 엔지니어링 기술을 운영에 통합했습니다.
이들의 악성 소프트웨어 무기고에는 다음이 포함됩니다.
- KNOTWRAP : C/C++로 작성된 메모리 전용 드로퍼로, 메모리에서 페이로드를 실행할 수 있습니다.
- KNOTROCK : 랜섬웨어 자체를 배포하는 데 사용되는 .NET 유틸리티입니다.
- DAWNCRY : 하드코딩된 키를 사용하여 내장된 리소스를 해독하고 실행하는 또 다른 메모리 전용 드로퍼입니다.
- PORTYARD : 사용자 정의 바이너리 프로토콜을 사용하여 C2(명령 및 제어) 서버에 연결하는 터널러입니다.
- COGSCAN : 네트워크 호스트 열거를 위한 .NET 기반 정찰 도구입니다.
위협 전달에 대한 하이브리드 접근 방식
Black Basta의 진화는 봇넷에 대한 의존에서 기술적 정교함과 사회 공학을 결합한 하이브리드 모델로의 전환을 강조합니다. 이러한 변화는 대상 네트워크에 침투하려는 적응력과 결의를 강조하여 사이버 보안 방어에 지속적인 도전을 제기합니다.
블랙 바스타에 대한 경계 유지
이러한 위협에 대응하기 위해 조직은 사이버 보안 인식을 우선시하고, 강력한 이메일 필터를 구현하고, 직원들에게 요청하지 않은 커뮤니케이션과 사칭 전술의 위험에 대해 지속적으로 교육해야 합니다. 효과적인 조치는 끊임없이 적응하는 이 위협 그룹이 초래하는 위험을 완화하는 데 필수적입니다.