쿠바라는 이름의 사이버 갱단, MS 취약점 노리는 수법으로 전략 바꿔

요약 : 쿠바(Cuba)라는 이름으로 알려진 랜섬웨어 갱단이 MS 익스체인지의 취약점을 익스플로잇 하는 방향으로 선회하고 있다는 소식이다. 특히 프록시셸(ProxyShell)과 프록시로그온(ProxyLogon) 취약점을 통해 최초 침투를 하는 경우가 늘어나고 있다고 한다. 보안 업체 맨디언트(Mandiant)에 의하면 최소 8월부터 이러한 움직임을 보인 것으로 보인다고 한다. 쿠바 갱단이 침투 이후 유포시키는 건 콜드드로우(COLDDRAW)라는 랜섬웨어다.


배경 : FBI에 의하면 쿠바 갱단은 한시터(Hancitor)라는 1단계 임플란트를 먼저 피해자의 시스템에 삽입하고, 이 한시터를 통해 다음 단계의 멀웨어인 랜섬웨어를 심는다고 한다. 한시터는 최소 5년 전부터 등장했던 멀웨어다. 쿠바 갱단은 크리덴셜 탈취를 주요 침투 기법으로 활용해왔었다.

말말말 : “쿠바는 북미 지역, 특히 미국의 기업들을 노리는 사이버 갱단입니다. 캐나다도 자주 당합니다. 그 외에 유럽 일부 국가와 호주에서도 피해자가 나오고 있습니다. 제조업과 금융 산업에서 가장 많은 피해가 발생하고 있습니다.” -맨디언트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>