팀뷰어(TeamViewer) 원격 액세스 도구를 활용한 일련의 랜섬웨어 공격이 발견됐다. 헌트리스가 발견한 이 공격은 위협 행위자가 합법적인 소프트웨어를 활용해 조직의 엔드포인트에 무단으로 액세스하고, 락빗(LockBit) 랜섬웨어를 기반으로 암호화기를 배포하려고 시도한 것이다.

팀뷰어가 사이버 범죄자들에 의해 예상치 못한 사이버 공격 공범이 되었다. 시스템에 대한 원격 액세스를 제공하는 기능을 악용해 공격자는 불법 데이터 액세스, 시스템 조작, 바이러스 배포와 같은 불법 활동을 위한 제어권을 장악한 것이다.

이 공격은 위협 행위자가 팀뷰어를 통해 엔드포인트에 액세스하는 방식으로 전개되었다. 특히, 사전 정찰이나 측면 이동 없이 침입이 이루어졌다는 점이 특징이다.

공격자들은 "PP.bat"이라는 DOS 배치 파일을 사용해 랜섬웨어를 배포하려고 시도했다. 이 파일을 실행하면 rundll32.exe 명령이 실행되어 암호화 프로세스가 시작되었다. 사용된 특정 랜섬웨어는 사용자 지정 기능으로 유명한 락빗(LockBit) 3.0 빌더와 연결되어 있는 것으로 보인다.

이 공격은 무단 액세스 및 악의적인 활동을 방지하기 위해 팀뷰어와 같은 원격 액세스 도구의 보안이 매우 중요하다는 것을 보여준다. 기업에서는 다음과 같은 보안 조치를 고려해야 한다.

▲정기적인 모니터링=원격 액세스 로그에 대한 지속적인 모니터링을 구현하여 의심스러운 활동을 즉시 감지하고 대응해야 한다.

▲엔드포인트 보호=강력한 엔드포인트 보호 솔루션을 배포해 악성 파일과 활동을 탐지하고 차단해야 한다.

▲자산 추적=설치된 애플리케이션과 함께 물리적 및 가상 엔드포인트의 포괄적인 인벤토리를 유지해 전반적인 보안 태세를 강화한다.

▲암호 보호=강력한 비밀번호 정책을 강화하고 다단계 인증 체계를 적용해야 한다.

▲사용자 교육=랜섬웨어 캠페인의 초기 진입점 역할을 하는 소셜 엔지니어링 시도와 피싱 공격을 인식할 수 있도록 직원을 대상으로 사이버 보안 인식 교육을 철저히 해야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★