사이버 보안 기업 사이버리즌 연구팀이 미국 내에서 성행하고 있는 블랙 바스타 랜섬웨어에 대해 경고했다.
Qakbot 악성코드 감염으로 이어지는 블랙 바스타 랜섬웨어는 지난 2주 동안 미국 내 많은 시스템을 감염시킨 것으로 알려졌다. 연구팀에 따르면, 블랙 바스타는 2022년 4월부터 활성화돼 다른 랜섬웨어와 마찬가지로 이중 갈취 공격 모델을 구현한다.
Sentinel Labs의 보안 연구원은 최근 블랙 바스타의 TTP에 대한 세부 정보를 공유했으며, 랜섬웨어가 FIN7과 연관이 있을 가능성이 높다고 설명했다.
사이버리즌 연구팀은 “블랙 바스타 랜섬웨어는 QakBot를 사용해 초기 진입 지점을 만든다. 이후 네트워크 내에서 주로 브라우저 정보, 키 입력, 자격 증명을 포함한 피해자의 금융 데이터를 훔친다. QakBot이 시스템 감염을 성공하면 위협 행위자가 추가로 랜섬웨어를 드롭할 수 있게 백도어를 설치한다”라고 말했다.
공격 체인은 QakBot 감염으로 시작된다. 공격자는 Cobalt Strike를 사용해 시스템을 장악하고 최종적으로 랜섬웨어를 배포한다. 공격은 악성 URL 링크가 포함된 스팸/피싱 이메일로 시작된다.
연구팀은 일단 네트워크에 대한 액세스 권한을 얻으면 공격이 매우 빠르게 진행된다는 사실을 발견했다. 일부 사례에서 공격자는 2시간 이내에 도메인 관리자 권한을 얻었고, 12시간 이내에 랜섬웨어를 배포했다.
공격자는 또한 DNS 서비스를 비활성화해 복구를 더욱 복잡하게 만드는 것으로 나타났다. 피싱 이메일에는 악성 디스크 이미지 파일이 포함돼 있다. 파일을 열면 QakBot이 실행되고 악성코드는 원격으로 서버에 연결해 Cobalt Strike 페이로드를 실행한다.
또한 공격자는 자격 증명을 얻어 최대한 많은 엔드포인트를 손상시킨다. 한편, 연구팀은 탐지되지 않고 추가 악성코드를 배포하기 위해 방어 센서가 없는 시스템을 노리는 공격자도 발견했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
