랜섬웨어 그룹 블랙 바스타, MS팀즈 악용한 랜섬웨어 공격…기업 내부 침투 전략 고도화

랜섬웨어 그룹 블랙 바스타(Black Basta)가 소셜 엔지니어링 수법을 활용해 기업 네트워크를 침투하는 새로운 공격 방식을 도입했다. 최근 보안 전문가들은 이 그룹이 마이크로소프트 팀즈(Microsoft Teams)를 악용해 직원들을 속이고 원격 접근 권한을 획득하는 사례를 발견했다고 밝혔다.

블랙 바스타의 공격은 이메일 폭탄 공격으로 시작된다. 이들은 타겟이 된 직원의 이메일 계정으로 대량의 뉴스레터나 구독 확인 메일을 약 50분 동안 쏟아내며 혼란을 야기했다. 이후 마이크로소프트 팀즈를 통해 IT 지원을 사칭하는 메시지를 보내 원격 지원이 필요한 것처럼 유도했다. 이 과정에서 공격자들은 “securityadminhelper.onmicrosoft.com”이나 “supportadministrator.onmicrosoft.com”과 같은 신뢰를 줄 수 있는 이름을 사용해 더욱 교묘하게 접근했다.

직원이 공격자의 요청을 신뢰하게 되면, 원격 접속 프로그램인 애니데스크(AnyDesk)나 윈도우 퀵 어시스트(Windows Quick Assist)를 설치하도록 유도한다. 이렇게 확보한 원격 접속을 통해 공격자들은 자격 증명 탈취 악성코드를 설치하거나 네트워크 내부로 이동하는 추가적인 공격을 감행한다. 최종적으로는 블랙 바스타 랜섬웨어를 이용해 데이터를 암호화하고 금전을 요구하는 방식이다.

보안 기업 리리아퀘스트(RelaiQuest)는 2024년 10월 이후 이러한 공격 방식이 급증했다고 보고했다. 한 사례에서는 단일 사용자가 50분 동안 약 1,000통의 이메일을 받은 후, 외부 사용자가 보낸 팀즈 메시지를 받았다. 메시지에는 ‘IT 지원 데스크’라는 이름이 사용됐으며, 공격자는 피해자로부터 원격 접속 권한을 얻는 데 성공했다. 공격을 추적한 결과, 관련 활동이 러시아를 기반으로 한 것으로 드러났다.

마이크로소프트 또한 스톰-1811(Storm-1811)로 추적되는 공격 그룹이 블랙 바스타와 연계된 것으로 보인다고 발표했다. 이 그룹은 마이크로소프트 팀즈와 퀵 어시스트를 악용해 피해자의 자격 증명을 탈취하고 랜섬웨어를 배포했다.

보안 전문가들은 기업들이 다음과 같은 조치를 통해 이러한 공격에 대비해야 한다고 강조했다:

-외부 사용자와의 통신 제한: 마이크로소프트 팀즈의 외부 사용자 메시지 및 통화를 차단하거나 제한해 무단 접촉을 방지해야 한다.

-이메일 보안 강화: 이메일 폭탄 공격으로 인한 혼란을 줄이기 위해 강력한 스팸 방지 정책을 도입해야 한다.

-직원 교육 실시: 소셜 엔지니어링 공격을 인지하고 대응할 수 있도록 정기적인 교육을 실시하며, IT 지원 요청 시 반드시 검증 절차를 거치도록 유도해야 한다.

-이상 징후 모니터링: 이메일 활동 급증이나 팀즈를 통한 예상치 못한 외부 접촉을 탐지하기 위한 모니터링 시스템을 구축해야 한다.

랜섬웨어 그룹이 점점 더 정교한 공격 방식을 도입함에 따라 기업들은 보안 정책과 직원 교육을 강화해 이러한 위협에 대비해야 한다. 이번 사례는 기업 내부 시스템의 보안 설정과 외부 통신 관리가 얼마나 중요한지를 다시 한번 상기시키는 계기가 되고 있다.