남용된 Windows 빠른 지원 도구는 Black Basta 랜섬웨어 위협 행위자를 도울 수 있습니다.

원격 액세스 도구를 활용하는 것은 기업에 이중 과제를 제시하며, 특히 정교한 사회 공학 전술에 능숙한 위협 행위자에 의해 악용될 경우 더욱 그렇습니다. 최근 Microsoft Threat Intelligence는 Storm-1811로 식별된 재정적 동기를 지닌 그룹이 조직한 Black Basta 랜섬웨어 피싱 캠페인의 출현을 강조했습니다. 이 그룹은 사회 공학적 접근 방식을 사용하여 Microsoft 지원이나 내부 IT 직원과 같은 신뢰할 수 있는 기관으로 가장하여 피해자가 원격 연결을 촉진하는 Windows 응용 프로그램인 Quick Assist를 통해 원격 액세스 권한을 부여하도록 유도합니다.

신뢰가 구축되고 액세스 권한이 부여되면 Storm-1811은 다양한 악성 코드를 배포하고 궁극적으로 Black Basta 랜섬웨어를 배포하게 됩니다. 이 방법은 숙련된 사회 공학 기술을 갖춘 위협 행위자가 기존 보안 조치를 우회하여 합법적인 원격 액세스 도구를 쉽게 조작할 수 있음을 강조합니다. 이러한 고급 사회 공학 전술에는 기업 보안 팀의 사전 대응이 필요하며, 경계 강화와 포괄적인 직원 교육을 강조합니다.

Storm-1811의 작업 방식에는 사용자를 속이고 손상시키기 위한 비싱, 이메일 폭탄 공격, IT 직원 사칭 등이 조합되어 있습니다. 가해자는 Vishing 통화를 시작하기 전에 피해자에게 이메일을 넘쳐나게 하며, 뒤따르는 혼란을 이용하여 피해자가 악의적인 Quick Assist 요청을 수락하도록 강요합니다. 이러한 조직화된 공격은 피해자의 방향을 혼란스럽게 하여 악성 코드를 성공적으로 조작하고 배포할 수 있는 길을 열어줍니다.

Microsoft의 관찰에 따르면 Storm-1811은 ScreenConnect 및 NetSupport Manager와 같은 원격 모니터링 도구를 통해 전달되는 Qakbot 및 Cobalt Strike를 포함한 다양한 맬웨어를 사용하는 것으로 나타났습니다. 액세스가 설정되면 공격자는 스크립트 명령을 사용하여 악성 페이로드를 다운로드하고 실행하여 손상된 시스템을 영구적으로 제어합니다. 또한 Storm-1811은 OpenSSH 터널링 및 PsExec과 같은 도구를 활용하여 지속성을 유지하고 네트워크 전반에 걸쳐 Black Basta 랜섬웨어를 배포합니다 .

이러한 공격을 완화하려면 조직에서는 사용하지 않을 때 원격 액세스 도구를 제거하고 제로 트러스트 아키텍처를 사용하여 권한 액세스 관리 솔루션을 구현하는 것이 좋습니다. 정기적인 직원 교육은 사회 공학 전술과 피싱 사기에 대한 인식을 높이고 직원이 잠재적인 위협을 식별하고 방지할 수 있는 역량을 강화하는 데 가장 중요합니다. 고급 이메일 솔루션과 이벤트 모니터링은 방어를 더욱 강화하여 악의적인 활동을 신속하게 탐지하고 완화할 수 있습니다.

정교한 사회 공학을 통한 원격 액세스 도구의 활용은 진화하는 사이버 위협 환경을 강조합니다. 이러한 문제를 해결하려면 기술적 방어, 직원 교육, 악의적인 악용으로부터 보호하기 위한 사전 보안 조치를 포괄하는 다각적인 접근 방식이 필요합니다.