블랙 바스타(Black Basta) 랜섬웨어 그룹이 윈도우 권한 상승 취약점(CVE-2024-26169)을 제로데이로 악용해 공격을 확대하고 있어 각별히 주의해야 한다.

CVE-2024-26169는 윈도우 오류 보고 서비스에서 발견된 높은 심각도의 취약점(CVSS v3.1 점수 7.8)이다. 이 취약점은 공격자가 시스템 권한으로 권한을 상승시킬 수 있게 해준다. 마이크로소프트는 2024년 3월 12일 월간 패치 화요일 업데이트에서 이 취약점을 패치했다. 패치 전 이 취약점이 실제로 악용되고 있었기 때문에, 심각한 보안 문제로 부각되었다.

공격자는 취약점을 악용해 레지스트리 키를 생성하고 "Debugger" 값을 자신의 실행 파일로 설정하여 WerFault.exe가 실행될 때 SYSTEM 권한으로 실행되도록 한다.

초기 감염 벡터는 피싱 이메일이나 악성 다운로드를 통해 이루어지며, DarkGate 로더를 사용한다. 이는 QakBot의 제거 이후 블랙 바스타 그룹이 꾸준히 사용해온 방식이다.

초기 접근 후, 공격자는 소프트웨어 업데이트로 위장한 배치 스크립트를 배포하여 지속성을 확보하고 CVE-2024-26169의 취약점 도구를 실행하여 권한 상승을 달성한다.

블랙 바스타는 해체된 콘티 랜섬웨어 조직과 연계된 것으로 알려져 있으며, 윈도우 도구를 악용하고 플랫폼에 대한 깊은 이해를 바탕으로 한 정교한 공격으로 유명하다.

이 그룹은 소프트웨어 업데이트로 위장한 배치 스크립트를 사용하여 악성 명령을 실행하고 감염된 시스템에 대한 제어를 유지하는 것이 특징이다.

시만텍 분석에 따르면, 2024년 2월 27일과 2023년 12월 18일에 컴파일된 두 가지 변종의 익스플로잇 도구가 발견되었다. 이는 블랙 바스타가 취약점이 공개되기 훨씬 전에 이 익스플로잇을 사용했다는 것을 알 수 있다.

블랙 바스타는 2022년 4월 설립 이후로 매우 활발히 활동해 왔으며, 500건 이상의 침해 사건이 그들의 협력자들에 의해 발생했다. 이 그룹은 2023년 11월 기준으로 1억 달러 이상의 랜섬 머니를 탈취한 것으로 알려져 있다.

CVE-2024-26169와 관련된 위험을 완화하기 위해 최신 윈도우 보안 업데이트를 적용하는 것이 중요하다. 또한, 랜섬웨어 공격에 대한 방어를 강화하기 위해 사이버 보안 및 인프라 보안국(CISA)이 공유한 지침을 따를 것을 권장한다.

마이크로소프트의 2024년 3월 패치 화요일에서는 60개의 취약점이 패치되었으며, 이 중 18개는 원격 코드 실행(RCE) 버그이고 26개는 권한 상승(EoP) 취약점이었다. CVE-2024-26169는 이번 릴리스에서 가장 중요한 패치 중 하나였다.

2024년 3월에 패치된 다른 주목할 만한 취약점으로는 CVE-2024-21407(윈도우 Hyper-V RCE)와 CVE-2024-21433(윈도우 Print Spooler EoP)가 있다. 두 취약점 모두 심각한 위험을 초래할 수 있었으나, 패치가 발표될 당시에는 실제로 악용되지 않았다.

랜섬웨어 공격 전술이 계속 진화함에 따라, 새로운 위협에 대한 정보를 지속적으로 확보하고 견고한 사이버 보안 체계를 유지하는 것이 중요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★