지난 몇 년 동안 가장 성공적인 랜섬웨어 그룹이었던 블랙 바스타(Black Basta)의 최근 내부 커뮤니케이션 내역이 대규모로 유출되었다. 보안 연구원의 분석에 따르면 통신 로그로 유명 랜섬웨어 그룹의 플레이북과 네트워크에 대한 초기 액세스 권한을 얻기 위해 선호하는 방법을 엿볼 수 있었다.

패치 관리 업체 퀄리스(Qualys) 연구진은 유출된 로그를 분석한 보고서에서 “노출된 RDP(원격 데스크톱 프로토콜)과 VPN 서비스를 검색하고, 초기 액세스 권한을 얻기 위해 기본 VPN 자격 증명 또는 무차별 대입을 통해 훔친 자격 증명을 사용하고, 시스템이 패치되지 않은 상태에서 공개적으로 알려진 CVE를 악용하는 것이 블랙 바스타의 주요 공격 벡터”라고 썼다.

한편, 사이버 위협 인텔리전스 업체 켈라(KELA) 역시 유출된 로그에 있는 3,000개의 고유 크리덴셜과 인포스틸링 멀웨어의 이전 데이터 덤프 간의 상관관계를 관찰해 이러한 데이터를 수집한 후 판매하는 다른 위협 그룹과의 관계를 시사했다.

켈라 연구원은 공격자가 취약점과 피싱/스팸 캠페인으로 자격 증명을 소싱하고, 손상된 이메일 자격 증명을 사용한 다음, 이메일 대화에서 원격 액세스 자격 증명을 찾는 것을 확인했다고 밝혔다. 그런 다음 이러한 자격 증명을 초기 액세스 벡터로 사용하거나 측면 이동 단계에 사용했다.

블랙 바스타는 인터넷에 연결된 기기의 공개적으로 알려진 취약점, 특히 개념 증명 공격이 가능한 결함을 정기적으로 악용한다. 취약점 인텔리전스 업체 벌앤체크(VulnCheck)가 분석한 바에 따르면, 유출된 블랙 바스타 로그에는 62개의 고유한 CVE가 포함되어 있었다.

무기화된 익스플로잇과 흔한 구성 취약점

벌앤체크에 따르면, 로그에 언급된 62개의 CVE 중 53개는 공개적으로 악용되는 것으로 알려져 있으며, 44개는 미국 사이버보안 및 인프라 보안 기관에서 관리하는 알려진 익스플로잇 취약점(KEV) 카탈로그에도 나와 있다.

로그에 언급된 취약점 중 일부는 오래되었지만 널리 퍼져 있다. 예를 들어 마이크로소프트 오피스 원격 템플릿 기능의 CVE-2022-30190 원격 코드 실행 결함(폴리나(Follina) 결함)은 악성 워드 첨부 파일을 통해 널리 악용되고 있다. 다른 잘 알려진 결함으로는 로그4쉘(Log4Shell, CVE-2021-44228), 스프링4쉘(Spring4Shell, CVE-2022-22965), 프록시낫쉘(ProxyNotShell, CVE-2022-41028, CVE-2022-41040) 등이 있다.

그러나 통신 로그에 따르면 블랙 바스타는 일반적으로 새로 공개된 취약점에 대해서도 신속하게 논의하며, 이 중 일부는 공식 발표 전에 접근한 것으로 보인다. 포티넷 포티OS(CVE-2024-23113), 브릭스 빌더 워드프레스 테마(CVE-2024-25600), Exim 이메일(CVE-2023-42115) 등이 있다.

벌앤체크 연구원은 “새로운 보안 권고가 발표된 지 며칠 만에 멤버가 시트릭스 넷스케일러, 체크포인트 퀀텀 보안 게이트웨이, 커넥트와이즈 스크린커넥트, 마이크로소프트 오피스 아웃룩, 포티넷 포티SIEM, 팔로알토 네트웍스 PAN-OS, 아틀라시안 컨플루언스 서버 및 데이터센터, 마이크로소프트 IOS XE 웹 UI, 마이크로소프트 윈도우, 깃랩 CE/EE, 포티넷 포티OS 등의 제품과 관련된 취약점을 논의했다”라고 밝혔다.

또한, 블랙 바스타 멤버가 새로운 익스플로잇을 개발할 수 있는 리소스를 보유하고 있거나 서드파티로부터 제로데이 익스플로잇을 구매할 것을 고려했음을 시사하는 증거를 발견했다. 이 그룹은 또한 줌인포, 챗GPT, 깃허브, 쇼단, 포파, 메타스플로잇, 코어 임팩트, 코발트 스트라이크, 핵 등 다양한 공격 및 방어 사이버보안 툴에 대해 정기적으로 논의했다.

퀄리스 연구진은 벌앤체크의 조사 결과를 반영해 취약점 분석을 수행하고, 블랙 바스타의 조직원들이 노리는 것으로 보이는 몇 가지 잘못된 설정도 로그에서 추출했다.

여기에는 레거시 시스템에서 활성화된 SMBv1, 서버, 라우터, VPN, 기타 IoT 기기 등 공개적으로 접속 가능한 다양한 기기에 대한 기본 자격 증명, 시스코, 포티넷, 팔로알토 네트웍스 글로벌프로텍트 등 인기 있는 엔터프라이즈 VPN 솔루션의 취약한 구성, 윈도우 서버에서 필터링 없이 노출된 RDP, 공용 AWS S3 버킷, 개방형 젠킨스(Jenkins) CI/CD 서버, 취약한 MSSQL 인증, 잘못된 시트릭스 넷스케일러(Citrix Netscaler) 구성, 하위 도메인 내 DNS 기록이 포함되었다 .

취약점 중 상당수는 여전히 공격자의 주요 표적이다. 공격 탐지 플랫폼 그레이노이즈는 블랙 바스타 로그에 언급된 62개의 취약점 중 23개가 지난 30일 동안 활발하게 악용되었다고 보고했다. 기업이 취약점에 노출될 가능성이 있는지를 즉시 평가해야 한다는 것을 의미한다.

인포스틸러에서 랜섬웨어까지

인포스틸러는 브라우저 비밀번호 저장소 및 기타 애플리케이션에 저장된 로그인 정보를 스크랩하도록 설계된 멀웨어 프로그램이다. 이러한 위협은 사이버 범죄 포럼에서 점점 더 많이 서비스 형태로 제공되고 있으며, 최근 연구에 따르면 지난해의 공격 성공률이 3배나 증가했다. 같은 기간 동안 다크웹에서 인포스틸러 로그 도구로 도난당한 정보도 50% 늘었다.

켈라 연구진은 정보를 취합해 블랙 바스타 공격자가 브라질의 소프트웨어 및 기술 지원 회사를 침해한 한 사례를 강조했다. 이 회사는 2023년 3월 인포스틸러 로그에 처음 등장한 RDweb 로그인 자격 증명을 사용해 2023년 10월 18일경에 침해당했다.

블랙 바스타 로그에 따르면 공격자는 해시된 자격 증명 덤프를 추가로 공유했으며 측면 이동에도 관여했다. 공격자 인포스틸러 데이터 덤프에서 유용한 초기 액세스 자격 증명을 얻는 데 6개월이 걸렸고, 회사를 침해하고 데이터를 유출해 랜섬웨어를 배포하는 데는 단 이틀밖에 걸리지 않았다.

더 놀라운 것은 초기 액세스 자격 증명이 든 동일한 인포스틸러 로그에 50개의 다른 자격 증명도 포함되어 있었으며, 그 중 일부가 브라질 소프트웨어 회사의 고객사와 관련된 것이었다는 점이다. 켈라 연구원은 기술 지원 직원의 컴퓨터를 손상시켜 데이터를 도난당했을 가능성이 높다고 결론지었다.

초기 액세스부터 데이터 도용 및 공개 갈취에 이르기까지 접근 방식이 구조화되었으며, 블랙 바스타가 랜섬웨어 캠페인의 영향을 극대화하기 위해 손상된 자격 증명, 내부 정찰 및 피해자 프로파일링을 전략적으로 사용했음을 알 수 있다.
dl-itworldkorea@foundryco.com