이메일 폭탄부터 마이크로소프트 퀵 어시스트까지… 진화하는 초기 침입 방식
Black Basta(블랙 바스타)와 CACTUS 랜섬웨어 조직이 동일한 BackConnect(BC) 모듈을 활용해 감염된 시스템을 지속적으로 통제하는 정황이 포착됐다. 이에 따라 기존 Black Basta 조직에 속했던 해커들이 CACTUS 랜섬웨어 그룹으로 이동했을 가능성이 제기되고 있다.
BackConnect 모듈, 공격자들에게 원격 제어 권한 제공
BackConnect 모듈은 보안 업체 트렌드마이크로(Trend Micro)에 의해 QBACKCONNECT로 명명됐다. 이는 악명 높은 악성코드 QakBot(콱봇) 로더와 유사한 기능을 갖고 있기 때문이다.
이 모듈이 감염된 시스템에 설치되면 공격자들은 원격으로 명령을 실행할 수 있으며, 로그인 정보, 금융 데이터, 개인 파일과 같은 민감한 정보를 탈취할 수 있다. 트렌드마이크로는 이 모듈이 올해 1월 월마트(Walmart) 사이버 인텔리전스 팀과 소포스(Sophos)에 의해 최초로 분석됐으며, 소포스는 이를 ‘STAC5777’이라는 코드명으로 추적하고 있다고 밝혔다.
이처럼 Black Basta와 CACTUS 랜섬웨어가 동일한 모듈을 활용하는 것은 두 조직이 긴밀한 관계를 유지하고 있거나, 일부 해커들이 CACTUS로 이동했을 가능성을 시사한다.
이메일 폭탄부터 마이크로소프트 퀵 어시스트까지… 진화하는 초기 침입 방식
과거 Black Basta는 기업 네트워크에 침투하기 위해 콱봇을 활용했다. 그러나 국제 사법당국이 작년에 콱봇 인프라를 폐쇄하면서 새로운 침입 방식을 찾기 시작했다.
최근에는 이메일 폭탄 공격을 이용해 피해자가 마이크로소프트(Microsoft)의 퀵 어시스트(Quick Assist) 프로그램을 설치하도록 유도하는 방식이 등장했다. 공격자들은 IT 지원 또는 헬프데스크 직원으로 위장해 피해자에게 접근하고, 퀵 어시스트를 설치하게 만든 뒤 이를 통해 원격 접속 권한을 확보한다.
이후 공격자들은 마이크로소프트 원드라이브(Microsoft OneDrive)의 정식 업데이트 실행 파일인 ‘OneDriveStandaloneUpdater.exe’를 이용해 악성 DLL 로더(winhttp.dll)를 실행시킨다. 이 과정에서 REEDBED라는 악성 로더가 실행되며, 결국 BackConnect 모듈이 복호화되어 실행된다.
CACTUS 랜섬웨어, Black Basta와 동일한 방식 활용
트렌드마이크로는 CACTUS 랜섬웨어가 Black Basta와 유사한 공격 방식을 사용하고 있다고 밝혔다. BackConnect 모듈을 통해 지속적인 제어권을 확보한 후, 내부 네트워크를 장악하는 데 활용한다는 것이다.
특히 CACTUS 공격자들은 단순히 시스템을 장악하는 것에서 그치지 않고, 추가적으로 내부 이동(lateral movement)과 데이터 유출(data exfiltration) 등 포스트 익스플로잇(Post-Exploitation) 단계까지 수행한 것으로 나타났다. 하지만 일부 공격에서는 최종적으로 네트워크 암호화(encryption)에 실패한 사례도 확인됐다.
또한, Black Basta와 CACTUS가 랜섬웨어 실행 자동화를 위해 동일한 파워셸(PowerShell) 스크립트인 ‘TotalExec’를 사용한 정황도 포착됐다. 두 조직의 전술과 도구가 유사하게 변화하고 있다는 점에서 조직 간 협력 혹은 인력 이동 가능성이 더욱 높아지고 있다.
Black Basta 내부 채팅 기록 유출… 조직의 실체 드러나
최근 유출된 Black Basta 내부 채팅 기록을 통해 조직의 구조와 운영 방식이 일부 드러났다. 해당 기록에는 조직원 간의 대화 내용이 포함됐으며, 이 과정에서 공격 대상에 대한 정보 공유 및 협업 방식 등이 확인됐다.
특히, 해커들이 정보탈취 악성코드를 통해 확보한 유효한 로그인 자격증명을 서로 공유했다는 점이 주목된다. 이들은 원격 데스크톱 프로토콜(RDP) 포털과 가상사설망(VPN) 엔드포인트를 주요 초기 침입 지점으로 활용한 것으로 나타났다.
보안 연구원들은 이러한 증거를 토대로 일부 Black Basta 해커들이 CACTUS 랜섬웨어 그룹으로 이동했을 가능성이 있다고 분석했다. 동일한 전술(TTP)과 공격 도구를 공유하는 점이 그 근거다.
이번 사례는 랜섬웨어 조직 간의 경계가 흐려지고 있으며, 동일한 공격 도구를 공유하는 사례가 증가하고 있음을 보여준다. 조직들은 최신 공격 기법을 지속적으로 분석하고 이에 맞는 보안 전략을 마련해야 할 것으로 보인다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: https://www.dailysecu.com/form/register.html?form_id=1733450622
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[김장현의 테크와 사람] 〈70〉개인정보 보호와 인공지능](https://img.etnews.com/news/article/2025/03/05/news-p.v1.20250305.abc188bf3f444a609af8971fe7df0885_P3.jpg)
![내 목소리 위조범 잡아낸다…LGU+ ‘안티딥보이스’ 인기 [MWC 2025]](https://newsimg.sedaily.com/2025/03/05/2GQ4KN4TCM_1.png)
