마이크로소프트 Teams를 이용한 Matanbuchus 3.0 악성코드 유포 주의보: 표적 공격의 진화
최근 사이버 보안 업계에서 Microsoft Teams를 이용한 악성코드 유포 사례가 발견되어 큰 우려를 낳고 있습니다. 보안 연구 기관 Morphisec에 따르면, 공격자들은 특정 대상을 신중하게 선별한 후, Microsoft Teams를 통해 마치 외부 IT 지원팀인 것처럼 위장하여 접근합니다. 이들은 피해자에게 장치에 문제가 발생했다는 거짓 정보를 제공하고, 문제 해결을 위해 원격 접속 권한을 요구합니다. 성공률을 높이기 위해 표적을 신중하게 선정하는 것이 특징입니다.
Matanbuchus 3.0: 진화하는 악성코드 로더
원격 접속이 허용되면 공격자들은 Quick Assist 등의 도구를 통해 PowerShell 스크립트를 실행하여 Matanbuchus 3.0을 배포합니다. Matanbuchus 3.0은 Cobalt Strike beacons 또는 랜섬웨어로 이어질 수 있는 악성코드 로더입니다. Morphisec의 CTO인 Michael Gorelik은 "피해자들은 신중하게 표적이 되어 스크립트를 실행하도록 설득당하며, 이 스크립트는 아카이브 다운로드를 트리거합니다."라고 설명했습니다. 이 아카이브에는 이름이 변경된 Notepad++ 업데이트 프로그램(GUP), 약간 수정된 구성 XML 파일, 그리고 Matanbuchus 로더를 나타내는 악성 사이드 로드 DLL이 포함되어 있습니다.
악성코드 서비스(MaaS)의 고가화
Matanbuchus는 2021년에 처음 발견되었으며, 당시 사이버 범죄자들은 러시아어 포럼에서 2,500달러에 판매했습니다. 이후 새로운 기능, 향상된 통신, 더 많은 스텔스 기능, CMD 및 PowerShell 지원 등을 포함하도록 진화했습니다. 또한 가격도 상승하여 현재 HTTPS 버전은 월 10,000달러, DNS 버전은 월 15,000달러에 판매되고 있습니다. 이는 사이버 범죄 생태계에서 악성코드 서비스(MaaS)의 가치가 꾸준히 상승하고 있음을 보여줍니다.
Black Basta 랜섬웨어 그룹과의 연관성?
연구자들은 공격 주체를 명확히 밝히지는 않았지만, 과거 Black Basta 그룹이 랜섬웨어를 배포하기 위해 유사한 사회 공학적 전술을 사용했다는 점을 지적했습니다. Black Basta는 한때 가장 위험한 랜섬웨어 조직 중 하나였지만, 최근에는 활동이 줄어들었습니다. 올해 2월 말, 한 사이버 범죄자가 해당 그룹의 내부 운영에 대한 자세한 내용을 담은 채팅 로그를 유출하기도 했습니다.
Teams를 통한 공격, 개인과 기업 모두 주의해야
Microsoft Teams는 업무 협업을 위한 필수 도구이지만, 동시에 공격자들이 악성코드를 유포하는 경로로 악용될 수 있습니다. 특히, 출처가 불분명한 링크 클릭이나 파일 다운로드를 유도하는 메시지에 주의해야 합니다. 또한, IT팀을 사칭하여 원격 접속을 요구하는 경우, 반드시 해당 IT팀에 직접 연락하여 사실 여부를 확인해야 합니다.
개인은 백신 프로그램을 최신 상태로 유지하고, 의심스러운 링크나 첨부 파일을 클릭하지 않도록 주의해야 합니다. 기업은 직원들을 대상으로 보안 교육을 실시하고, Microsoft Teams의 보안 설정을 강화하여 외부인의 접근을 제한해야 합니다. 또한, 네트워크 트래픽을 모니터링하고, 이상 징후를 탐지할 수 있는 시스템을 구축하는 것이 중요합니다.
결론
Microsoft Teams를 이용한 악성코드 유포는 점점 더 정교해지고 있으며, 개인과 기업 모두에게 심각한 위협이 될 수 있습니다. 최신 보안 위협에 대한 지속적인 관심과 적절한 예방 조치를 통해 사이버 공격으로부터 자신을 보호하는 것이 중요합니다. 의심스러운 활동을 발견하면 즉시 관련 기관에 신고하여 추가적인 피해를 막아야 합니다.
