요약 : 보안 외신 블리핑컴퓨터에 의하면 일부 랜섬웨어 공격자들이 팀뷰어(TeamViewer)라는 협업 도구를 악용해 랜섬웨어를 퍼트리기 시작했다고 한다. 팀뷰어라는 원격 관리 도구를 침해하거나, 공격의 표적이 되는 조직의 직원들을 속여 팀뷰어를 설치하도록 속인 다음에 이를 활용해 랜섬웨어 페이로드를 심어 파일들을 암호화 하는 것인데, 현재 이런 식으로 퍼지고 있는 랜섬웨어는 록빗(LockBit) 3.0의 변종이라고 볼 수 있다고 한다. 록빗 3.0의 빌더가 2022년 유출된 적이 있는데, 이를 통해 새롭게 개발된 것으로 보이기 때문이다.


배경 : 팀뷰어는 오랜 시간 사용되어 온 원격 관리 도구다. 그렇기 때문에 널리 사용되며, 원격 접근을 허용하기 때문에 공격자들 사이에서도 인기가 높다. 이 팀뷰어라는 것을 이용해 공격하는 수법은 예전부터 존재해 왔고, 이따금씩 새롭게 활용되곤 한다. 이번 캠페인이 끝나도 누군가 멀지 않은 미래에 또 팀뷰어를 통한 공격을 실행할 가능성이 높다.

말말말 : “현 상황을 인지하고 있고, 분석 결과 팀뷰어의 디폴트 보안 설정을 바꾼 경우에 특히 피해가 많은 것으로 밝혀졌습니다. 팀뷰어의 보안 설정을 낮추지 않는 것을 권고합니다.” -팀뷰어-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>