Action1 RMM을 악용하는 랜섬웨어 운영자
Action1 RMM과 같은 RMM(원격 모니터링 및 관리) 도구는 패치 관리, 보안 소프트웨어 설치 및 보안을 포함하여 고객 네트워크의 엔드포인트 원격 관리를 허용하기 때문에 MSP(Managed Service Provider) 및 해당 고객 기반에 점점 더 매력적인 선택이 되고 있습니다. 문제 해결. 불행하게도 이러한 도구의 기능은 기업 네트워크를 손상시키고 지속성을 유지하기 위해 도구를 악용하는 위협 활동가의 관심을 끌었습니다.
목차
기업 네트워크를 침해하는 위협 행위자
보안 회사의 최근 보고서와 연구원의 트윗은 랜섬웨어 공격에서 Action1 RMM의 남용에 대해 밝혔습니다. 공격자는 Action1을 사용하여 명령, 스크립트 및 바이너리를 실행하여 손상된 시스템에 맬웨어 변종을 드롭할 수 있습니다. 이러한 작업을 수행하려면 플랫폼 내에서 "정책" 또는 "앱"을 생성해야 실행 중에 명령줄에서 감지될 때 오용 표시를 제공합니다.
이 문제에 대응하여 Action1은 AI 필터링과 같은 보안 업그레이드를 구현하여 의심스러운 행동 패턴에 대한 사용자 활동을 스캔하고 잠재적인 악의적인 계정을 감지하고 전담 보안 팀에 추가 조사를 알립니다.
코스타스의 트윗을 뒷받침하는 증거
자원 분석가 그룹인 The DFIR Report의 구성원인 Kostas는 Action1 RMM 플랫폼을 악용하는 랜섬웨어 운영자에 대해 트위터를 통해 이 시스템을 사용하여 공격이 증가할 수 있는 잠재적 위험을 강조했습니다. 이러한 주장을 확인하려면 상황을 더 명확하게 이해하기 위한 추가 증거가 필요합니다.
BlackBerry 사고 대응 팀의 조사와 유사한 TTP
Kostas의 트윗을 뒷받침하는 추가 증거는 Monti 랜섬웨어와 관련된 사건에 대한 BlackBerry 사고 대응 팀의 조사에서 나옵니다. 이 경우 공격자는 Log4Shell 취약점을 악용하여 클라이언트의 VMware Horizon 가상화 시스템에 침입했습니다. 공격자는 사용자 데스크톱과 서버를 암호화했으며 특히 Action1을 포함하여 두 개의 RMM(원격 모니터링 및 유지 관리) 에이전트도 다운로드하여 설치했습니다.
연구원들은 공격자가 RMM 소프트웨어를 사용하여 네트워크 내에서 지속성을 설정하고 추가 원격 액세스를 용이하게 하여 이러한 방식으로 Action1을 활용한 최초의 알려진 사건이 되었다고 생각합니다. 이전에 Conti 운영자가 사용했던 이 전술은 악의적인 활동을 수행하기 위해 Action1과 같은 합법적인 RMM 소프트웨어의 다재다능함을 악용하는 사이버 범죄자의 진화 및 적응을 보여줍니다.
Action1 악의적인 사용 방지
Action1은 랜섬웨어 운영자가 남용하는 RMM(원격 모니터링 및 관리) 제품 문제를 적극적으로 해결하고 있습니다. 회사는 사용자 기반에 효율적인 원격 관리 솔루션을 제공하면서 플랫폼의 악의적인 사용을 방지하기 위해 다양한 보안 업그레이드를 구현했습니다.
보안 업그레이드, AI 필터링 사용
Action1에서 구현한 보안 조치 중 하나는 AI 필터링을 사용하는 것입니다. 이 기술은 의심스러운 행동 패턴에 대한 사용자 활동을 스캔하고 잠재적으로 악의적인 계정을 효과적으로 감지합니다. Action1은 AI 기능을 활용하여 플랫폼이 랜섬웨어 공격에 악용될 위험을 완화하는 것을 목표로 합니다.
Monti 랜섬웨어 변종
Monti는 전문가들이 Conti 제품군 의 새로운 변종으로 간주하는 비교적 새로운 랜섬웨어 변종입니다. 이 긴장은 전임자 Conti를 사이버 공간에서 중대한 위협으로 만든 전술을 사용하여 관찰되었습니다.
Conti 제품군의 최신 변형
Monti는 원격 관리 소프트웨어를 남용하여 랜섬웨어 공격을 시작하는 것을 포함하여 Conti를 심각한 위협으로 만든 많은 전술을 물려받았습니다. Monti 랜섬웨어 운영자는 Conti 제품군이 채택한 성공적인 접근 방식을 채택하는 데 적응력이 있는 것으로 입증되었습니다.
원격 관리 소프트웨어의 남용
Conti는 AnyDesk와 같은 합법적인 원격 관리 소프트웨어를 악용하여 네트워크에 대한 무단 액세스 권한을 얻고 공격을 용이하게 하는 것으로 유명했습니다. Monti는 고객 네트워크에서 원격 엔드포인트 관리를 위해 관리 서비스 공급자가 사용하는 Action1 RMM의 남용과 관련된 최근 사고로 유사한 접근 방식을 따랐습니다.
Conti와 Monti 갱 사이의 가능한 링크
Conti와 Monti 랜섬웨어 운영자 사이의 정확한 연관성은 불분명합니다. 그러나 그들의 전술, 기술 및 절차의 유사성은 Monti 배후의 범죄자가 Conti 갱단의 영향을 받았거나 Conti 갱단과 직접적인 관련이 있을 수 있음을 시사합니다. 연결 여부와 관계없이 Monti의 랜섬웨어 변종과 입증된 전술의 조합은 기업과 시스템에 상당한 위협이 됩니다.