사이버 범죄자들이 윈도우의 Quick Assist 기능을 악용하여 블랙 바스타 랜섬웨어를 피해자의 네트워크에 배포하는 사회 공학 공격이 발생하고 있습니다. Microsoft는 이 공격을 2024년 4월 중순 이후로 조사하고 있으며, Storm-1811이라는 위협 그룹이 이메일 폭탄 공격을 통해 피해자의 주소를 다양한 이메일 구독 서비스에 등록한 후 공격을 시작했습니다. 피해자의 메일함이 원치 않는 메시지로 가득 차면, 이 위협 그룹은 Microsoft 기술 지원 또는 공격당한 회사의 IT 또는 도움말 데스크 직원을 사칭하여 스팸 문제를 해결하도록 돕습니다.
이 과정에서 공격자들은 피해자를 속여 Quick Assist라는 원격 제어 및 화면 공유 도구를 실행하여 자신들의 윈도우 장치에 접근할 수 있도록 합니다. "사용자가 접근과 제어를 허용하면, 위협 행위자는 악성 페이로드를 전달하는 일련의 배치 파일이나 ZIP 파일을 다운로드하는 스크립트화된 cURL 명령을 실행한다"고 Microsoft는 설명했습니다. 이 공격을 통해 Qakbot, ScreenConnect, NetSupport Manager, Cobalt Strike 등의 도구가 다운로드되는 것을 Microsoft Threat Intelligence가 확인했습니다.
사이버 보안 회사 Rapid7은 공격자들이 PowerShell을 사용하여 피해자의 자격 증명을 수집하는 배치 스크립트를 사용한다고 밝혔습니다. 이 자격 증명은 '업데이트'가 사용자 로그인을 필요로 하는 것처럼 가장하여 수집되며, 대부분의 배치 스크립트 변형에서는 이 자격 증명이 SCP 명령을 통해 즉시 위협 행위자의 서버로 추출됩니다. Microsoft는 이러한 사회 공학 공격을 차단하기 위해 Quick Assist와 같은 원격 모니터링 및 관리 도구를 차단하거나 제거하고, 직원들에게 기술 지원 사기를 인식하도록 훈련하는 것을 권장합니다.
요약
- 사이버 범죄자들이 윈도우의 Quick Assist 기능을 악용하여 블랙 바스타 랜섬웨어를 피해자의 네트워크에 배포하는 사회 공학 공격이 발생했다
- 공격자들은 이메일 폭탄 공격을 통해 피해자의 주소를 다양한 이메일 구독 서비스에 등록한 후, Microsoft 기술 지원 또는 공격당한 회사의 IT 또는 도움말 데스크 직원을 사칭했다.
- Microsoft는 이러한 사회 공학 공격을 차단하기 위해 Quick Assist와 같은 원격 모니터링 및 관리 도구를 차단하거나 제거하고, 직원들에게 기술 지원 사기를 인식하도록 훈련하는 것을 권장한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.