사이버 보안의 새로운 위협: CACTUS 랜섬웨어와 Black Basta의 연결
최근 사이버 보안 업계에서 주목받고 있는 두 랜섬웨어, Black Basta와 CACTUS가 동일한 BackConnect(BC) 모듈을 사용하여 감염된 호스트에 대한 지속적인 제어를 유지하고 있다는 사실이 밝혀졌습니다. 이로 인해 Black Basta와 관련된 협력자들이 CACTUS로 전환했을 가능성이 제기되고 있습니다.
BC 모듈과 QakBot의 연관성
Trend Micro의 분석에 따르면, BC 모듈은 감염된 기계에서 명령을 실행할 수 있는 광범위한 원격 제어 기능을 제공하여 공격자들이 로그인 자격 증명, 금융 정보 및 개인 파일과 같은 민감한 데이터를 탈취할 수 있게 합니다. 이 모듈은 QakBot 로더와의 중복성을 이유로 QBACKCONNECT로 추적되고 있으며, 2025년 1월 월마트의 사이버 인텔리전스 팀과 Sophos에 의해 처음 문서화되었습니다.
Black Basta의 새로운 공격 전술
지난 1년 동안 Black Basta는 이메일 폭탄 전술을 활용하여 잠재적 피해자에게 IT 지원이나 헬프데스크 직원으로 가장해 Quick Assist 설치를 유도하는 공격 체인을 점점 더 많이 사용하고 있습니다. 이 접근 방식은 OneDriveStandaloneUpdater.exe라는 합법적인 실행 파일을 사용하여 악성 DLL 로더(REEDBED)를 사이드로드하는 통로로 작용합니다. 이 로더는 결국 BC 모듈을 해독하고 실행합니다.
CACTUS 랜섬웨어의 부상
CACTUS 랜섬웨어는 Black Basta의 기존 인프라가 법 집행 기관의 작전에 의해 무너진 후, 다른 초기 접근 방법을 모색하게 되면서 주목받기 시작했습니다. QBACKCONNECT의 사용은 Black Basta와 QakBot 개발자 간의 긴밀한 협력 관계를 암시합니다. Trend Micro는 CACTUS 랜섬웨어 공격이 BackConnect를 배포하는 동일한 방식으로 진행되었으며, 이후에는 측면 이동 및 데이터 유출과 같은 다양한 사후 착취 활동을 수행했다고 밝혔습니다. 그러나 피해자의 네트워크를 암호화하려는 노력은 실패로 끝났습니다.
PowerShell 스크립트 TotalExec의 사용
Black Basta와 CACTUS 간의 또 다른 연결 고리는 TotalExec이라는 PowerShell 스크립트의 사용입니다. 이 스크립트는 암호화기를 자동으로 배포하는 데 사용되며, 두 랜섬웨어 그룹 간의 전술, 기술 및 절차(TTP)의 유사성을 보여줍니다. 최근 Black Basta 채팅 로그 유출은 이 전술의 중요성을 더욱 부각시켰습니다.
사이버 보안의 새로운 도전 과제
이러한 랜섬웨어의 전술적 융합은 사이버 보안 전문가들에게 새로운 도전 과제를 제시합니다. 특히, Black Basta와 CACTUS의 협력자들이 정보 스틸러 로그에서 유출된 유효한 자격 증명을 공유하고 있다는 사실이 드러났습니다. 이들은 원격 데스크톱 프로토콜(RDP) 포털과 VPN 엔드포인트를 주요 초기 접근 지점으로 사용하고 있습니다.
Trend Micro는 "위협 행위자들이 Black Basta 랜섬웨어를 배포하기 위해 이러한 전술, 기술 및 절차(TTP)를 사용하고 있다"고 밝혔습니다. 특히, Black Basta 랜섬웨어 그룹에서 CACTUS 랜섬웨어 그룹으로의 전환이 있었음을 시사하는 증거가 있으며, 이는 CACTUS 그룹이 사용하는 유사한 TTP의 분석에서 도출된 결론입니다.
결론
사이버 보안 환경은 끊임없이 변화하고 있으며, 새로운 위협이 등장할 때마다 이에 대한 대응 전략이 필요합니다. Black Basta와 CACTUS 랜섬웨어의 사례는 사이버 범죄자들이 얼마나 빠르게 적응하고 진화할 수 있는지를 보여줍니다. 기업과 개인은 이러한 위협에 대비하기 위해 지속적으로 보안 시스템을 강화하고 최신 정보를 유지해야 합니다. 특히, 랜섬웨어 공격에 대한 방어력을 높이기 위해서는 다층 보안 접근 방식과 더불어 정기적인 보안 교육이 필수적입니다.
이러한 상황에서 기업은 보안 솔루션을 지속적으로 업데이트하고, 직원들에게 최신 보안 위협에 대한 교육을 제공하는 것이 중요합니다. 또한, 보안 전문가들은 새로운 위협에 대한 정보를 지속적으로 모니터링하고, 이에 대한 대응책을 마련해야 할 것입니다.
이 블로그 글이 랜섬웨어와 사이버 보안에 대한 이해를 높이는 데 도움이 되길 바랍니다. 더 많은 정보를 원하신다면, 저희 블로그를 구독하고 최신 보안 뉴스를 받아보세요.