사이버 보안의 세계는 끊임없이 진화하고 있습니다. 오늘날 우리가 직면한 가장 심각한 위협 중 하나는 바로 Storm-0501이라는 랜섬웨어 그룹입니다. 이 글에서는 Storm-0501의 특징, 공격 방식, 그리고 이에 대한 효과적인 방어 전략을 상세히 살펴보겠습니다. 하이브리드 클라우드 환경을 사용하는 조직이라면 반드시 알아야 할 정보를 제공해 드리겠습니다.
Storm-0501: 새로운 위협의 등장
Storm-0501은 2021년부터 활동을 시작한 금전적 동기의 사이버 범죄 그룹입니다. 최근 들어 이 그룹은 하이브리드 클라우드 환경을 집중적으로 공격하고 있어 많은 기업과 기관의 우려를 사고 있습니다.
주요 특징:
- 하이브리드 클라우드 환경 타겟팅
- 다양한 랜섬웨어 페이로드 사용 (최근에는 Embargo 랜섬웨어)
- 복잡한 다단계 공격 전략
Storm-0501의 주요 표적
Storm-0501은 주로 미국의 다음 분야를 집중적으로 공격하고 있습니다:
- 정부 기관
- 제조업체
- 운송 업체
- 법 집행 기관
- 병원
이러한 표적 선정은 중요 인프라와 민감한 데이터에 대한 접근을 노리는 것으로 보입니다.
Storm-0501의 공격 방식: 복잡하고 정교한 전략
Storm-0501의 공격은 여러 단계로 이루어진 복잡한 과정을 거칩니다. 각 단계를 자세히 살펴보겠습니다.
1. 초기 접근
- 취약한 자격 증명 악용
- 접근 브로커(예: Storm-0249, Storm-0900) 활용
- 알려진 취약점 공격 (Zoho ManageEngine, Citrix NetScaler, Adobe ColdFusion 2016 등)
2. 측면 이동 및 권한 상승
- Impacket의 SecretsDump 모듈 사용
- Cobalt Strike 활용
3. 데이터 유출
- Rclone을 사용하여 MegaSync 클라우드 스토리지로 데이터 전송
4. 클라우드 환경 침투
- 도난당한 Microsoft Entra ID(구 Azure AD) 자격 증명 사용
- Microsoft Entra Connect Sync 계정 또는 클라우드 세션 하이재킹 활용
5. 지속적인 접근 유지
- Microsoft Entra 테넌트 내 새로운 페더레이션 도메인 생성
6. 랜섬웨어 배포
- Embargo 랜섬웨어를 온프레미스 및 클라우드 환경에 배포
Embargo 랜섬웨어: Storm-0501의 최신 무기
Embargo는 2024년 5월에 처음 발견된 Rust 기반의 랜섬웨어입니다. 이 랜섬웨어는 RaaS(Ransomware-as-a-Service) 모델로 운영되며, Storm-0501과 같은 제휴사들이 사용하고 있습니다.
Storm-0501과 다른 랜섬웨어 그룹의 차이점
Storm-0501은 여러 면에서 다른 랜섬웨어 그룹과 구별됩니다:
- 하이브리드 클라우드 환경 집중 공격: 온프레미스에서 클라우드로의 측면 이동 전략
- 다양한 랜섬웨어 페이로드: Hive, BlackCat (ALPHV), Hunters International, LockBit, Embargo 등
- 지속적인 백도어 접근: 향후 추가 공격이나 데이터 유출을 위한 기반 마련
- 복잡한 초기 접근 방식: 다양한 접근 방법의 복합적 사용
- 클라우드 보안 악용: Microsoft Entra ID 등 클라우드 취약점 적극 활용
- 진화하는 전술: 지속적인 표적 확대 및 전술 발전
효과적인 방어 전략
Storm-0501의 위협에 대응하기 위해 Microsoft는 다음과 같은 방어 전략을 권장합니다:
- 제로 트러스트 전략 채택:
- 모든 접근에 대해 지속적인 검증 실시
- 네트워크 세그먼테이션 강화
- 자격 증명 강화:
- 강력하고 고유한 비밀번호 정책 시행
- 다중 인증(MFA) 의무화
- 클라우드 보안 강화:
- 클라우드 환경의 보안을 온프레미스 수준으로 유지
- 클라우드 구성 및 권한 정기 검토
- 패치 관리:
- 알려진 취약점에 대한 신속한 패치 적용
- 자동화된 패치 관리 시스템 구축
- 권한 관리:
- 과도한 권한 부여 방지
- 최소 권한 원칙 적용 및 정기적인 권한 검토
결론: 포괄적이고 사전 예방적인 접근이 필요
Storm-0501의 등장은 하이브리드 클라우드 환경을 사용하는 조직들에게 큰 위협이 되고 있습니다. 이 그룹의 복잡하고 진화하는 공격 전략에 대응하기 위해서는 포괄적이고 사전 예방적인 보안 접근 방식이 필수적입니다.
조직은 제로 트러스트 모델을 채택하고, 자격 증명 보안을 강화하며, 클라우드 환경의 보안을 지속적으로 모니터링하고 개선해야 합니다. 또한, 직원들에 대한 보안 교육과 인식 제고도 중요합니다.
사이버 보안은 끊임없는 과정입니다. Storm-0501과 같은 새로운 위협에 대비하기 위해서는 지속적인 학습과 보안 체계의 개선이 필요합니다. 여러분의 조직은 준비되어 있습니까?