다중 라이센스 할인 견적
위협 데이터베이스 랜섬웨어 Scattered Spider 랜섬웨어 공격

Scattered Spider 랜섬웨어 공격

랜섬웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

정교하고 공격적인 사이버 범죄 조직인 스캐터드 스파이더(Scattered Spider)가 VMware ESXi 하이퍼바이저에 대한 공격을 강화했습니다. 북미 지역의 소매, 항공, 운송 등 주요 산업을 표적으로 삼는 이 조직의 작전은 치밀하고 계획적이며 파괴적인 효과를 자랑합니다. 이들의 성공은 소프트웨어 공격이 아니라, 소셜 엔지니어링과 신뢰할 수 있는 시스템 조작에 대한 능숙함에 달려 있습니다.

공격 없는 전술: 핵심은 사회 공학

스캐터드 스파이더는 소프트웨어의 취약점을 악용하는 대신, 검증된 전술인 전화 기반 소셜 엔지니어링을 사용합니다. 이 조직은 종종 IT 헬프 데스크에 연락하여 권한이 높은 관리자를 포함한 합법적인 직원을 사칭합니다. 이러한 전화는 더 광범위한 캠페인 기반 전략의 일부로, 공격은 무작위적인 것이 아닙니다. 조직 내 가장 민감한 시스템과 데이터를 표적으로 삼아 치밀하게 작전을 계획합니다.

스캐터드 스파이더(Scattered Spider) 공격자는 대상의 인프라 또는 로그인 포털을 매우 유사하게 모방하는 사기성 도메인을 등록하는 것으로 알려져 있습니다. 일반적인 도메인 이름 지정 패턴은 다음과 같습니다.

  • 피해자 이름-sso.com
  • 피해자 이름-okta.com
  • 피해자 이름-서비스데스크닷컴
  • sso-피해자이름닷컴
  • servicenow-victimname.com

헬프 데스크에서 하이퍼바이저까지: 다단계 공격 체인

Scattered Spider의 공격 방법은 5가지 전략적 단계를 거쳐 전개되며, 각 단계는 접근을 확대하고 탐지를 최소화하도록 설계되었습니다.

초기 액세스 및 권한 상승
공격자는 직원을 사칭하고, 자격 증명을 수집하고, 내부 문서를 수집하기 위해 소셜 엔지니어링을 시작합니다. HashiCorp Vault와 같은 비밀번호 관리자에서 데이터를 추출하고, IT 지원 프로세스를 악용하여 관리자 비밀번호를 재설정하는 경우가 많습니다.

vSphere로의 측면 이동
VMware 환경에 매핑된 Active Directory 자격 증명을 활용하여 vCenter Server Appliance(vCSA)에 액세스합니다. Teleport라는 도구를 사용하여 방화벽 규칙을 우회하고 지속적인 액세스를 설정하는 암호화된 역방향 셸을 생성합니다.

하이퍼바이저 조작 및 데이터 추출
ESXi 호스트에서 SSH를 활성화하고 루트 암호를 재설정한 후 '디스크 스왑' 공격을 실행합니다. 이 공격에는 도메인 컨트롤러 VM을 종료하고, 가상 디스크를 분리한 후, 공격자가 제어하는 VM에 연결하고, NTDS.dit 데이터베이스를 추출한 후 프로세스를 역순으로 진행합니다.

복구 메커니즘 비활성화
백업 작업, 스냅샷 및 저장소가 삭제되어 복구 옵션이 제거되고 공격의 영향이 증폭됩니다.

랜섬웨어 배포
사용자 정의 랜섬웨어 바이너리는 SCP 또는 SFTP를 통해 손상된 ESXi 호스트로 푸시되어 가상 환경 전반의 중요 시스템을 암호화합니다.

스캐터드 스파이더의 속도와 은밀함

0ktapus, Muddled Libra, Octo Tempest, UNC3944 등의 별칭으로도 알려진 Scattered Spider가 기존 랜섬웨어 공격자들과 차별화되는 점은 공격 속도와 은밀성입니다. 전문가들은 초기 접근부터 랜섬웨어 배포까지 전체 공격이 단 몇 시간 만에 이루어질 수 있다고 지적합니다. 어떤 경우에는 48시간 이내에 100GB 이상의 데이터가 유출되기도 했습니다. 이 그룹은 DragonForce 랜섬웨어 프로그램과도 연계되어 그들의 역량을 더욱 강화하고 있습니다.

방어 전략 전환: EDR에서 인프라 중심 보안으로

이러한 공격의 특성상 일반적인 엔드포인트 탐지 및 대응(EDR) 도구로는 충분하지 않을 수 있습니다. Scattered Spider 방어에는 전체론적이고 인프라 중심적인 접근 방식이 필요합니다. 다음과 같은 계층적 방어 전략을 강력히 권장합니다.

레이어 1: vSphere 및 하이퍼바이저 강화

  • vSphere에서 잠금 모드 활성화
  • execInstalledOnly 적용
  • VM 암호화 사용
  • 사용하지 않거나 오래된 가상 머신을 폐기합니다.
  • 사칭 전술에 대비해 헬프 데스크를 보호하고 교육합니다.

2계층: ID 및 액세스 보호

  • 피싱 방지 다중 인증(MFA)을 구현합니다.
  • 중요한 ID 인프라를 분리합니다.
  • 공격자가 악용할 수 있는 순환 인증 종속성을 방지하세요.

3계층: 모니터링 및 백업 격리

  • 주요 인프라에서 로그 모니터링을 중앙화합니다.
  • Active Directory 액세스로부터 백업을 분리합니다.
  • 손상된 관리자 계정에서도 백업에 접근할 수 없도록 합니다.

    • 결론: 랜섬웨어 위험의 새로운 시대

    vSphere 생태계, 특히 ESXi 호스트와 vCenter Server를 표적으로 삼는 랜섬웨어는 빠르고 대규모적인 중단을 초래할 수 있어 심각한 위협을 초래합니다. Scattered Spider의 계산된 공격 방식은 기업들이 방어 태세를 재고해야 할 필요성을 강조합니다. 이러한 위험을 무시하거나 권장 대책의 이행을 지연시키는 것은 심각한 다운타임, 데이터 손실, 재정적 손실 등 치명적인 결과를 초래할 수 있습니다.

    트렌드

    안드로이드가 귀하의 휴대전화에 대한 도청을 감지했습니다.

    불량 웹사이트
    사이버 위협은 더 이상 대기업을 노리는 복잡한 악성코드에만 국한되지 않습니다. 일반 사용자들도 피해자가 될 가능성이 높으며, 특히 두려움과 긴박감을 이용한 사회 공학적 수법을 통해 피해를 입을 가능성이 높습니다. 심각한 사례 중 하나는 '안드로이드가 사용자 휴대전화의 도청을 감지했습니다' 사기입니다. 이 사기는 사용자들이 자신의 기기가...

    Ecergerwagonal.com

    불량 웹사이트, 애드웨어, 브라우저 하이재커
    웹 서핑 시 주의를 기울이는 것은 단순한 권고가 아니라 필수입니다. 사기꾼들은 기술적, 인적 취약점을 끊임없이 악용하여 무심코 사용자를 데이터 도용, 악성코드 유포, 또는 속임수를 통한 수익 창출을 위한 함정에 빠뜨립니다. 이러한 위협 중 하나는 Ecergerwagonal.com입니다. 이 사기성 웹사이트는 사용자를 속여 유해한 브라우저 알림을...

    Interlock RAT

    원격 관리 도구, 지능형 지속 위협(APT), 랜섬웨어
    Interlock 랜섬웨어 작전의 배후에 있는 사이버 범죄자들이 자체 원격 접속 트로이 목마(RAT)인 Interlock RAT(NodeSnake라고도 함)의 PHP 변종을 새롭게 개발하여 공격 수위를 높이고 있습니다. 이 업그레이드된 위협은 기존 ClickFix 기법에서 파생된 FileFix라는 진화된 전송 메커니즘을 사용하는 광범위한 캠페인에서...

    가장 많이 본

    '프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

    문제
    59,176
    프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

    문제
    45,846
    처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

    Discord가 회색 화면에 멈춤

    문제
    45,244
    때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
    로드 중...