Offcanvas

랜섬웨어 / 보안

“로얄 랜섬웨어 그룹, 시트릭스 취약성 집중 공략 중”

2023.01.16 Michael Hill  |  CSO
로얄 랜섬웨어 그룹이 시트릭스 시스템 보안 결함인 ‘CVE-2022-27510’을 악용하고 있다고 앳-베이(At-Bay) 사이버 연구 팀이 경고했다. 

2022년 11월 8일 시트릭스가 발표한 CVE-2022-27510은 ADC(Application Delivery Controller) 및 시트릭스 게이트웨이라는 두 시트릭스 제품에서 인증 우회를 가능하게 하는 취약점이다. 공개 시점에는 실제 악용 사례가 없었던 것으로 추정됐던 바 있다. 그러나 사이버 보험 기업 앳-베이의 사이버 연구팀은 올해 첫 주 로얄 랜섬웨어 그룹이 이를 적극적으로 악용하고 있는 정황을 포착했다고 전했다. 

로얄은 정교한 렌섬웨어 공격을 수행하는 그룹 중 하나로 2022년 1월 등장해 하반기에 특히 활발하게 활동했다. 

로얄 랜섬웨어 그룹이 CVE-2022-27510을 악용하는 방법
시트릭스가 취약점을 공개한 이후 앳-베이스 연구팀은 위험 가능성을 평가하고 잠재적 공격 사례를 분석하기 시작했다. 앳-베이의 애디 드로 사이버 데이터 분석가는 “스캔 데이터, 클레임 데이터에서 수집한 정보 및 사이버 연구팀이 수집한 기타 정보에 따르면, 로얄 랜섬웨어 그룹이 CVE-2022-27510 취약점을 공격 시작을 위한 초기 접근 지점으로 활용하려는 현실을 보여준다”라고 말했다. 

그에 따르면, 이번 취약점 악용 방식은 과거의 패턴과 유사하다. 로얄은 이 인증 우회 취약성을 악용해 시트릭스 ADC나 시트릭스 게이트웨이에의 무산 접근 권환을 확보하고 랜섬웨어 공격을 시작하는 것으로 추정된다. 드로는 “서버의 취약점을 악용하는 것은 랜섬웨어 그룹이 사용하는 일반적인 공격 양상이다. 단 이번 사태의 특이점은 랜섬웨어 그룹이 공개적 악용이 나타나기 전에 시트릭트 취약점을 사용하고 있었다는 점이다”라고 말했다. 

드로에 따르면 CVE-2022-27510의 영향을 받는 시트릭스 제품 라인업의 구체적인 목록은 다음과 같다. 



취약성을 내포한 영향을 받는 버전의 시트릭스 제품을 사용한다면, 소프트웨어를 패치하고 시트릭스가 안내하는 해결 방법을 따라야 한다. 드로는 “보안 경고를 받지 않았을지라도 취약한 제품을 사용하고 있다면 즉시 패치해야 한다”라고 말한다.

기업을 노리는 로얄 랜섬웨어 그룹
로얄 그룹은 2022년 하반기에 활동량을 늘렸다. 특히 유연하고 빠른 파일 암호화를 수행할 수 있는 자체 맞춤형 랜섬웨어 프로그램을 개발하기도 했다. 보안 기업 사이버리즌은 최근 보고서에서 “로얄 그룹이 각기 다른 TTP를 통해 랜섬웨어를 배포해 전 세계 여러 조직을 공격했다”라고 밝혔다. 

한편 이 그룹의 공격 기법은 콘티의 전술과 유사한 특성을 지닌다. 2022년 5월 폐쇄된 콘티의 구성원이 일부 합류했을 가능성을 점치게 하는 이유다. 이 밖에 로얄 그룹은 피싱을 초기 공격 벡터로 사용하는 것으로 알려져 있다. 또 ‘BATLOADER’와 ‘Qbot’와 같은 서드파티 로더를 활용하기도 한다. 초기 접근 후에는 지속성을 확보하기 위해 ‘Cobalt Strike’를 배치해 횡적으로 이동하곤 한다. 로얄이 사용하는 기법은 부분 암호화를 통해 피탐을 회피할 수 있게 한다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.