치명적 보안취약점 이용해 블랙락 랜섬웨어 조직 역해킹…운영 내역 대거 유출 외 1건

요약	- 사이버보안 연구진이 랜섬웨어 조직 ‘블랙락(BlackLock)’의 온라인 인프라에 침투 - 주요 운영 정보 확보
내용	- 블랙락(BlackLock) > 이전에 엘도라도(Eldorado)라는 이름으로 활동 > 24.03경부터 활동을 본격화한 Ransomware-as-a-Service(RaaS) 조직 > 기술, 제조, 건설, 금융, 유통 등 다양한 산업 및 미국, 영국, 캐나다, 프랑스, 이탈리아 등 여러 국가를 공격 - 미국 보안 기업 리시큐리티(Resecurity) > 블랙락이 다크웹에서 운영하던 데이터 유출 사이트(DLS)에 로컬 파일 포함(Local File Inclusion, LFI) 취약점이 존재함을 발견 > 해당 취약점은 웹 서버에 경로 이동(Path Traversal) 공격을 가해 서버 내부 정보를 불법으로 열람할 수 있도록 함 > 연구진은 이를 통해 서버 설정 파일, 계정 자격증명, 운영자가 입력한 명령어 기록 등 민감한 정보를 확보 * 블랙락 조직에게 있어 매우 심각한 운영 보안(OPSEC) 실패로 평가됨 - 유출된 데이터 분석 결과 ① 데이터 탈취 방식 > 피해자의 시스템에서 탈취한 데이터를 클라우드 서비스인 MEGA로 전송하기 위해 Rclone 툴 사용 > 일부 경우 피해자의 컴퓨터에 MEGA 클라이언트를 직접 설치한 흔적 발견 ② 일회용 이메일 사용 > YOPmail과 같은 일회용 이메일 서비스로 만든 계정으로 최소 8개의 MEGA 계정을 생성해 피해자 데이터 보관 ③ 기존 랜섬웨어와의 유사성 > 역공학 분석 결과, 드래곤포스(DragonForce) 랜섬웨어와 소스코드 및 협박 메시지에서 유사한 부분 발견 > 드래곤포스는 Visual C++로 작성, 블랙락은 Go 언어를 사용 > 개발 방식은 다르지만 상호 연관 가능성이 제기 ④ 공격 파트너 모집 > 블랙락의 핵심 인물로 알려진 ‘$$$’는 25.01 중순부터 지하 커뮤니티에서 공격 초기 침투를 수행할 파트너 모집 > 이들은 악성 사이트로 피해자를 유도해 초기 접근 권한을 확보한 후 랜섬웨어를 설치하는 역할
기타	- 랜섬웨어 조직 간의 경쟁 또는 조직 통합의 신호 > 블랙락의 데이터 유출 사이트가 드래곤포스에 의해 변조 > 마모나(Mamona)의 사이트도 동일하게 변조 - 능동적 대응 전략을 통해 사이버 범죄 생태계에 실질적인 타격을 줄 수 있음을 보여줌 > 공격 기법이 계속 진화하는 만큼, 지속적인 경계와 보안 커뮤니티 간 협력이 앞으로도 중요할 것으로 보임

 

보안뉴스

치명적 보안취약점 이용해 블랙락 랜섬웨어 조직 역해킹…운영 내역 대거 유출 - 데일리

Resecurity | Blacklock Ransomware: A Late Holiday Gift with Intrusion into the Threat Actor's Infrastructure