이란 해커 그룹 MuddyWater가 Microsoft Teams를 진입 경로로 활용하는 새로운 사이버 공격 캠페인에 연루되었습니다. 공격자들은 Microsoft 기술 지원을 사칭하여 피해자에게 접근하며, 원격 접속이나 악성 소프트웨어 설치를 요구합니다. 일단 침투하면 자격 증명과 민감한 데이터를 탈취하고, 주의를 분산시키기 위해 가짜 랜섬웨어를 배포합니다.
사칭 기술 및 원격 접속 도구 🛠️
공격자들은 Teams에서 기술 지원 직원을 가장하여 대화를 시작하며, 긴급한 보안 문제를 주장합니다. 이러한 구실로 피해자에게 ScreenConnect나 AnyDesk와 같은 합법적인 도구를 설치하도록 요청합니다. 원격 제어 권한을 획득하면 공격자는 시스템에 저장된 자격 증명과 기업 애플리케이션 데이터를 추출합니다. 마지막으로, 파일을 암호화하지 않고 실제 정보 탈취를 은폐하기 위해 공격을 시뮬레이션하는 랜섬웨어를 배포합니다.
가짜 랜섬웨어: 남 탓을 하기 위한 고전적인 수법 😅
가장 재미있는 점은, 자격 증명과 데이터를 탈취한 후 공격자가 가짜 랜섬웨어를 남겨서 일반적인 공격으로 오인하게 만든다는 것입니다. 마치 도둑이 집에 들어와 금고를 훔쳐 가고, 떠나기 전에 옆집 사람이 했어요라는 쪽지를 남기는 것과 같습니다. 파일은 그대로이고 Teams 계정은 이미 다크 웹에서 판매 중이지만, 적어도 암호화를 시뮬레이션하는 수고를 했다는 점은 다행입니다.