랜섬웨어 공격, 사내 감시 도구와 원격 관리 플랫폼의 위험한 조합
최근 사내 감시 도구와 원격 관리 플랫폼을 악용한 랜섬웨어 공격 시도가 발견되어 기업 보안에 새로운 경종을 울리고 있습니다. 공격자는 이미 IT 환경에 존재하거나, 네트워크 접근 후 다운로드하는 합법적인 도구를 활용하여 공격을 은폐하고 있습니다. Huntress의 연구에 따르면, 공격자는 NetworkLookout의 "Net Monitor for Employees Professional"과 SimpleHelp라는 두 가지 도구를 조합하여 랜섬웨어 배포 및 암호화폐 탈취를 시도했습니다.
사내 감시 도구의 악용
Net Monitor for Employees는 직원 감시를 목적으로 개발되었지만, 원격 접속 기능을 포함하고 있어 공격자에게 악용될 여지를 제공합니다. 이 도구는 역방향 연결, 프로세스 및 서비스 이름 가장, 셸 실행, 그리고 자동 설치 기능을 제공하여 공격자가 은밀하게 시스템에 접근하고 악성 행위를 수행하도록 돕습니다.
원격 관리 플랫폼의 위험성
SimpleHelp는 IT 팀과 관리 서비스 제공업체(MSP)에서 원격 모니터링 및 관리에 널리 사용되는 도구입니다. 가벼운 에이전트, 게이트웨이 이중화 지원, 일반적인 포트에서의 작동 능력 등 다양한 장점을 제공하지만, 공격자에게는 지속적인 침투 경로를 확보하는 데 악용될 수 있습니다.
공격 시나리오 분석
Huntress는 두 가지 사례에서 이러한 공격 전술을 발견했습니다. 첫 번째 사례에서는 Net Monitor for Employees를 통해 계정 조작이 시도되었고, 이후 SimpleHelp를 다운로드하여 Windows Defender를 우회하려 했습니다. 결국 Crazy 랜섬웨어 배포를 시도했지만 실패했습니다. 두 번째 사례에서는 협력업체의 VPN 계정이 탈취되어 초기 접근 경로로 사용되었고, Net Monitor for Employees를 통해 SimpleHelp가 설치되어 암호화폐 관련 키워드를 감시하는 데 사용되었습니다.
'리빙 오프 더 랜드' 공격
공격자는 이미 네트워크에 존재하는 합법적인 도구를 악용하여 공격을 위장하는 '리빙 오프 더 랜드' 전략을 사용합니다. 이는 IT 담당자가 탐지하기 어렵게 만들고, 공격 성공 가능성을 높입니다. 특히 협력업체의 VPN 계정 탈취는 공급망 공격의 위험성을 보여주는 사례입니다.
기업의 대응 방안
SANS Institute의 Johannes Ullrich는 기업이 구축한 IT 인프라가 공격자에게 악용될 수 있음을 지적하며, 위험을 정확하게 파악하고 완화해야 한다고 강조합니다. 그는 에이전트를 통해 데이터를 수집하고 코드를 실행하는 소프트웨어의 사용을 엄격하게 통제하고 모니터링해야 한다고 조언합니다.
Huntress의 분석가 Anna Pham은 기업이 모든 애플리케이션을 목록화하여 승인되지 않은 설치를 탐지하고, 다단계 인증을 포함한 강력한 ID 및 접근 관리 솔루션을 사용하여 합법적인 애플리케이션을 보호해야 한다고 강조합니다. 또한, Net Monitor for Employees는 민감한 데이터나 중요 서버에 대한 접근 권한이 없는 엔드포인트에만 설치해야 합니다.
보안 인식 교육의 중요성
많은 원격 관리 도구가 피싱 이메일을 통해 설치되는 경우가 많습니다. 따라서 직원들에게 보안 인식 교육을 제공하여 의심스러운 링크나 첨부 파일을 클릭하지 않도록 교육하는 것이 중요합니다. 또한, CISA는 SimpleHelp RMM의 취약점을 악용한 랜섬웨어 공격에 대한 경고를 발표하며, 위험 완화 방안을 제시한 바 있습니다.
결론
사내 감시 도구와 원격 관리 플랫폼의 조합을 악용한 랜섬웨어 공격은 기업 보안에 심각한 위협을 제기합니다. 기업은 위험을 정확하게 파악하고, 강력한 보안 정책을 수립하며, 직원 교육을 강화하여 이러한 공격에 효과적으로 대응해야 합니다.
