DragonForce 랜섬웨어 조직이 관리 서비스 제공자(MSP)를 성공적으로 침해하고 SimpleHelp 원격 모니터링 및 관리(RMM) 플랫폼을 이용해 고객 시스템의 데이터를 도난하고 암호화 프로그램을 배포했습니다. Sophos는 이 공격을 조사하게 되었으며, 공격자들이 SimpleHelp의 오래된 취약점 체인인 CVE-2024-57727, CVE-2024-57728, CVE-2024-57726을 이용해 시스템을 침해했다고 믿고 있습니다. SimpleHelp는 MSP들이 고객 네트워크에 시스템을 관리하고 소프트웨어를 배포하는 데 일반적으로 사용하는 상업용 원격 지원 및 접근 도구입니다.
Sophos의 보고서에 따르면, 위협 행위자들은 먼저 SimpleHelp를 사용해 고객 시스템에 대한 정찰을 수행했습니다. 이는 MSP의 고객에 대한 정보, 장치 이름 및 구성, 사용자, 네트워크 연결 등을 수집하는 것을 포함합니다. 그 후 공격자들은 고객 네트워크에서 데이터를 도난하고 복호화 프로그램을 배포하려고 시도했으나, Sophos 엔드포인트 보호를 사용하는 네트워크 중 하나에서 이를 차단했습니다. 그러나 다른 고객들은 그렇게 운이 좋지 않았으며, 장치가 암호화되고 데이터가 이중 강요 공격을 위해 도난당했습니다. Sophos는 이 공격과 관련된 IOC를 공유하여 조직이 네트워크를 더 잘 방어할 수 있도록 도움을 주었습니다.
MSP는 단일 침해로 여러 회사에 대한 공격이 이루어질 수 있기 때문에 랜섬웨어 갱들에게 오랫동안 가치 있는 목표였습니다. 일부 랜섬웨어 제휴사는 MSP들이 일반적으로 사용하는 도구, 예를 들어 SimpleHelp, ConnectWise ScreenConnect, Kaseya 등에 전문화되어 있습니다. 이로 인해 Kaseya에 대한 REvil의 대규모 랜섬웨어 공격과 같은 파괴적인 공격이 발생했으며, 이로 인해 1,000개 이상의 회사가 영향을 받았습니다.
요약
- DragonForce 랜섬웨어 조직이 MSP를 성공적으로 침해하고 SimpleHelp 원격 모니터링 및 관리 플랫폼을 이용해 고객 시스템의 데이터를 도난하고 암호화 프로그램을 배포했다.
- 공격자들은 SimpleHelp의 오래된 취약점 체인을 이용해 시스템을 침해했으며, 고객 네트워크에서 데이터를 도난하고 복호화 프로그램을 배포하려고 시도했다.
- MSP는 단일 침해로 여러 회사에 대한 공격이 이루어질 수 있기 때문에 랜섬웨어 갱들에게 오랫동안 가치 있는 목표였다.
- 일부 랜섬웨어 제휴사는 MSP들이 일반적으로 사용하는 도구에 전문화되어 있다.
- 이로 인해 Kaseya에 대한 REvil의 대규모 랜섬웨어 공격과 같은 파괴적인 공격이 발생했으며, 이로 인해 1,000개 이상의 회사가 영향을 받았다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.