요즘 사이버 공격자들이 윈도우 시스템의 취약점을 이용한 정교한 공격을 서슴지 않고 있어요.
그중에서도 최근 가장 큰 이슈가 된 건 바로 CVE-2025-29824라는 윈도우 권한 상승 취약점인데요.
이 버그는 마이크로소프트가 2025년 4월 보안 업데이트에서 패치하기 전까지
두 개의 서로 다른 랜섬웨어 그룹에 의해 제로데이 공격에 활용된 것으로 확인됐습니다. 😱
🐍 제로데이를 노린 첫 번째 공격자: Storm-2460
마이크로소프트가 처음으로 이 취약점의 제로데이 악용 사실을 밝혔을 때는,
Storm-2460이라는 위협 그룹이 주범으로 지목됐습니다.
이들은 미국, 베네수엘라, 스페인, 사우디아라비아의 일부 조직을 표적으로 삼아
랜섬웨어를 배포하는 데 이 취약점을 활용했어요.
이 취약점은 윈도우의 Common Log File System Driver에서 발생한 것으로,
악성 행위자가 시스템 권한을 획득할 수 있도록 해줍니다.
쉽게 말해, 공격자가 시스템의 핵심 권한을 탈취해 마음대로 명령을 실행할 수 있는 위험한 문제였죠.
🎈 두 번째 공격자 등장: Balloonfly (a.k.a. Play 랜섬웨어 그룹)
하지만 여기서 끝이 아니었습니다.
Symantec의 보고서에 따르면, 또 다른 위협 그룹인 Balloonfly — 혹은 더 잘 알려진 이름인 Play 랜섬웨어 그룹 —
역시 이 제로데이를 악용한 사례가 새롭게 포착됐어요.
특히 이 그룹은 미국의 한 조직을 공격하면서 Play 랜섬웨어를 배포하지 않고,
대신 자신들이 개발한 Grixba라는 커스텀 정보 탈취기를 먼저 설치했죠.
공격에 사용된 악성 파일들은 ‘paloaltoconfig.exe’, ‘1day.exe’ 같은 그럴듯한 이름으로 위장되어 있었고,
윈도우 시스템의 Music 폴더에 몰래 저장되어 있었어요. 😨
🧠 두 그룹, 서로 다른 공격 방식
흥미로운 점은 두 그룹이 같은 취약점을 악용했지만, 공격 방식은 완전히 달랐다는 것입니다.
- Storm-2460은 파일리스(fileless) 방식, 즉 메모리 기반 공격으로 악성 코드를 실행했어요.
- Balloonfly는 디스크 기반 악성 파일을 통해 다양한 악성 툴을 설치하며 시스템을 점진적으로 장악했죠.
Symantec은 Balloonfly가 공개된 시스코 방화벽 취약점을 통해 초기에 접근한 뒤,
윈도우 머신 내부로 이동해 권한 상승과 정보 탈취를 수행했다고 분석했어요.
🔐 취약점, 왜 이렇게 인기일까?
마이크로소프트는 이 권한 상승 취약점이 공격자에게 시스템 내부에서의 지속성 및 측면 이동 권한을 부여하기 때문에,
랜섬웨어 캠페인에서 매우 가치 있는 도구가 될 수 있다고 밝혔습니다.
쉽게 말해, 공격자가 이 취약점을 통해 관리자 권한을 얻고,
이후 자유롭게 악성 코드를 설치하거나 내부 데이터를 가로채는 등 본격적인 공격으로 이어질 수 있다는 거예요.
💥 Balloonfly, 얼마나 위험한가?
Balloonfly는 2022년 등장 이후, 전 세계적으로 300곳 이상의 조직을 공격한 것으로 알려진 초대형 랜섬웨어 조직입니다.
미국, 호주, 이탈리아 등 다양한 국가의 정부기관, 중견기업, 중요 인프라 시설 등을 표적으로 삼아
이중 갈취(더블 익스포지션) 방식으로 공격을 이어오고 있죠.
- 일부 데이터만 암호화하여 탐지를 피하면서도 피해를 유발
- Cobalt Strike, Mimikatz, AdFind 같은 합법적 도구를 이용한 정교한 공격
- 신뢰할 수 있는 명령어와 툴을 악용해 탐지 우회 시도
이런 공격 방식 덕분에 탐지와 방어가 더 어려운 상황이에요.
🛡️ 우리가 할 수 있는 대응 방안은?
- 보안 패치 적용은 무조건 빠르게!
이번 CVE-2025-29824는 마이크로소프트의 4월 보안 업데이트에서 패치되었습니다.
아직 적용하지 않으셨다면 지금 바로 업데이트하세요. - 방화벽, 외부 노출 포트 점검
Balloonfly는 공공 방화벽 취약점을 통해 내부에 진입한 것으로 보입니다.
외부 노출된 시스템은 정기적으로 점검하세요. - EDR 및 로그 기반 탐지 강화
파일리스 공격이나 합법적 도구를 활용한 공격은 전통적 AV로 탐지가 어렵습니다.
EDR 도입과 로그 기반 감시 체계를 강화하세요. - 직원 대상 보안 교육과 피싱 방어 훈련도 필수!
🚨 정리하며
같은 제로데이를 서로 다른 랜섬웨어 그룹이 노린 이번 사례는, 보안 취약점을 얼마나 빨리 무기화하는지,
그리고 사이버 위협이 얼마나 다양하고 유기적으로 진화하는지를 보여주는 단적인 예입니다.
지금 우리가 할 수 있는 최선은, 기본적인 보안 조치들을 철저히 지키는 것이에요.
빠른 패치, 탐지 강화, 사용자 교육 이 세 가지가 랜섬웨어 대응의 핵심입니다.
지금도 어딘가에서 새로운 취약점이 무기화되고 있을지 모릅니다.
방심은 금물이에요! 🛡️
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🛡️ SonicWall 장비, 또 뚫렸다?! 새로 발견된 3가지 고위험 취약점과 대응법 총정리 (1) | 2025.05.09 |
|---|---|
| 🚨 F5 Labs, CVE-2025-30065 취약점 대응을 위한 PoC 도구 공개! (1) | 2025.05.08 |
| AI 워크플로우 플랫폼을 노리는 새로운 위협 - Langflow의 심각한 인증 결함 ⚠️ (1) | 2025.05.07 |
| 🎯 HR 담당자를 노리는 정밀 피싱 공격! Venom Spider의 교묘한 침투 방식 (4) | 2025.05.07 |
| 📌 Windows 11의 보안 진화 – '관리자 보호(Administrator Protection)' 기능이 가져올 큰 변화 (3) | 2025.05.06 |