2024-07-25 20:00 (목)
CISA-FBI, "클롭 랜섬웨어 그룹의 제로데이 취약점 악용한 공격 주의" 당부
상태바
CISA-FBI, "클롭 랜섬웨어 그룹의 제로데이 취약점 악용한 공격 주의" 당부
  • 길민권 기자
  • 승인 2023.06.09 17:43
이 기사를 공유합니다

클롭 랜섬웨어의 사이버 위협을 완화하기 위해 취해야 할 조치도 공개

CISA(Cybersecurity and Infrastructure Security Agency)와 FBI(Federal Bureau of Investigation)는 CL0P(이하 클롭) 랜섬웨어 갱단이 수행하는 악의적인 사이버 활동에 대해 최근 2023년 6월까지 FBI 조사를 통해 확인된 클롭 랜섬웨어 IOC 및 TTP 리포트를 7일 공개했다. 리포트는 데일리시큐 자료실에서도 다운로드 가능하다. 

리포트에 따르면, TA505로도 알려진 클롭 랜섬웨어 갱단은 2023년 5월 27일부터 Progress Software의 MFT(관리형 파일 전송) 솔루션인 MOVEit에서 이전에 알려지지 않은 SQL 인젝션 취약점 CVE-2023-34362를 악용하기 시작했다. 인터넷에 연결된 MOVEit Transfer 웹 응용 프로그램은 LEMURLOOT라는 웹 셸에 감염되었으며, 이는 MOVEit Transfer 데이터베이스에서 데이터를 훔치는 데 사용됐다고 전했다.  

TA505는 2020년과 2021년에 Accellion File Transfer Appliance(FTA) 장치를 대상으로, 2023년 초에 Fortra/Linoma GoAnywhere MFT 서버를 대상으로 제로데이 익스플로잇 기반 사이버공격을 수행했다.

FBI와 CISA는 조직이 CL0P 랜섬웨어 및 기타 랜섬웨어 사고의 가능성과 영향을 줄이기 위해 이 CSA의 완화 섹션에 있는 권장 사항을 구현하도록 권장했다. 

클롭 랜섬웨어의 사이버 위협을 완화하기 위해 취해야 할 조치는 다음과 같다. 

자산 및 데이터의 인벤토리를 작성해 승인 및 승인되지 않은 장치와 소프트웨어를 식별하고 관리자 권한을 부여하고 필요한 경우에만 액세스해 합법적인 애플리케이션만 실행하는 소프트웨어 허용 목록을 설정해야 한다. 

또 방화벽 및 라우터와 같은 네트워크 인프라 장치에서 보안 구성을 활성화하여 네트워크 포트, 프로토콜 및 서비스를 모니터링하고 정기적으로 소프트웨어 및 애플리케이션을 최신 버전으로 패치 및 업데이트하고 정기적인 취약성 평가를 수행할 것을 권고했다. 

2019년 2월에 등장하여 CryptoMix 랜섬웨어 변종에서 진화한 클롭 랜섬웨어는 검증되고 디지털 서명된 바이너리를 사용하여 시스템 방어를 우회하는 대규모 스피어 피싱 캠페인에서 RaaS(Ransomware as a Service)로 활용되었다. 

클롭은 이전에 피해자 데이터를 훔치고 암호화하고 피해자 액세스 복원을 거부하고 CL0P^_-LEAKS 웹사이트를 통해 토르에 유출된 데이터를 게시하는 "이중 갈취" 전술을 사용하는 것으로 알려졌다. 

2019년 TA505 공격자는 SDBot 및 FlawedGrace를 다운로드하기 위해 Get2 멀웨어 드롭퍼를 사용한 매크로 사용 문서와 관련된 피싱 캠페인의 최종 페이로드로 클롭 랜섬웨어를 활용했다. 2021년부터 시작되는 최근 캠페인에서 클롭은 주로 암호화보다 데이터 유출에 집중했다. 

클롭 랜섬웨어 외에도 TA505는 맬웨어를 자주 변경하고 범죄 맬웨어 배포의 글로벌 추세를 주도하는 것으로 유명하다. 전 세계에서 가장 큰 피싱 및 악성 스팸 배포자 중 하나로 알려진 TA505는 3,000개 이상의 미국 기반 조직과 8,000개 이상의 글로벌 조직을 침해한 것으로 추정된다. 

2023년 1월 말, 클롭 랜섬웨어 그룹은 현재 CVE-2023-0669로 분류된 제로데이 취약점을 사용하여  GoAnywhere MFT 플랫폼을 표적으로 삼는 캠페인을 시작했다. 이 그룹은 10일 동안 약 130명의 피해자에게 영향을 준 GoAnywhere MFT 플랫폼에서 데이터를 유출했다고 주장했다. 

GoAnywhere MFT에서 피해자 네트워크로의 측면 이동은 식별되지 않았으며, 이는 침해가 GoAnywhere 플랫폼 자체로 제한되었음을 시사한다. 다음 몇 주 동안 그룹에서 유출된 데이터를 파싱하면서 오픈 소스 연구를 통해 확인된 피해자 회사의 고위 경영진에게 랜섬 노트가 전송되었다. 랜섬 노트는 피해자가 몸값을 지불하지 않으면 훔친 파일을 클롭 데이터 유출 사이트에 게시하겠다고 위협했다.

보다 상세한 내용은 데일리시큐 자료실에서 리포트(영문)를 다운로드해 확인할 수 있다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★