it

Microsoft, Medusa 랜섬웨어 제휴를 제로데이 공격과 연결

발행: (2026년 4월 7일 오전 01:56 GMT+9)
5 분 소요
원문: Bleeping Computer

Source: Bleeping Computer

Storm‑1175 활동 및 전술

Microsoft는 Medusa 랜섬웨어 페이로드를 배포하는 것으로 알려진, 재정적 동기를 가진 중국 기반 사이버 범죄 조직 Storm‑1175가 고속 공격에서 n‑day와 zero‑day 취약점을 모두 사용하고 있다고 밝혔습니다. 이 조직은 새로운 보안 취약점을 신속하게 타깃으로 삼으며, 일부 취약점은 하루 만에 무기로 전환하고, 경우에 따라 패치가 배포되기 일주일 전부터 악용하고 있습니다.

“Storm‑1175는 초기 접근 단계에서 데이터 유출 및 Medusa 랜섬웨어 배포까지 몇 일 안에, 경우에 따라 24시간 이내에 빠르게 진행합니다,” Microsoft said.

“위협 행위자의 높은 운영 템포와 노출된 주변 자산을 식별하는 능숙함은 성공을 입증했으며, 최근 침입은 호주, 영국, 미국의 의료 기관뿐 아니라 교육, 전문 서비스, 금융 부문에도 큰 영향을 미쳤습니다.”

Microsoft는 또한 Storm‑1175 운영자들이 여러 취약점을 연계해 침해된 시스템에 지속성을 확보하고, 새 사용자 계정을 생성하고, 원격 모니터링 및 관리 소프트웨어를 배포하며, 자격 증명을 탈취하고, 보안 소프트웨어를 비활성화한 뒤 랜섬웨어 페이로드를 투여하는 모습을 관찰했습니다.

공격 체인

Storm‑1175 공격 체인 (Microsoft)

10월에 Microsoft는 Storm‑1175가 Medusa 랜섬웨어 공격에서 패치되기 전 일주일 이상 최대 심각도 GoAnywhere MFT 취약점(CVE‑2025‑10035)을 악용해 왔다고 보고했습니다.

그 그룹이 악용한 또 다른 제로데이 취약점은 SmarterTools의 SmarterMail 이메일 서버 및 협업 도구에서 인증 우회를 일으키는 CVE‑2026‑23760입니다.

“이러한 최신 공격들은 Storm‑1175가 진화된 개발 역량이나 익스플로잇 브로커와 같은 새로운 자원에 접근하게 되었음을 보여주지만, GoAnywhere MFT가 이전에도 랜섬웨어 공격자들의 표적이 되었고, SmarterMail 취약점이 이전에 공개된 결함과 유사하다는 점도 주목할 만합니다,”라고 Microsoft는 덧붙였습니다.

“이러한 요인들이 Storm‑1175가 여전히 주로 N‑day 취약점을 활용하면서도 이후 제로데이 악용 활동을 촉진하는 데 도움이 되었을 가능성이 있습니다.”

악용된 취약점

최근 캠페인에서 Storm‑1175는 10개의 소프트웨어 제품에 걸쳐 16개 이상의 취약점을 악용했으며, 포함된 항목은 다음과 같습니다:

권고 및 관련 위협

CISA는 2025년 3월 FBI 및 다주 정보 공유·분석 센터(MS‑ISAC)와 공동 권고를 발표하여 Medusa 랜섬웨어 공격이 미국 전역의 300개 이상의 핵심 인프라 조직에 영향을 미쳤다고 경고했습니다 — 전체 보고서는 BleepingComputer에서 확인할 수 있습니다.

2024년 7월 Microsoft는 Storm‑1175 위협 그룹을 포함한 세 개의 사이버 범죄 조직이 VMware ESXi 인증 우회 취약점을 이용한 Black Basta 및 Akira 랜섬웨어 공격과 연관되어 있다고 밝혔습니다 — 자세한 내용은 BleepingComputer에서 확인할 수 있습니다.

0 조회
#Microsoft #Medusa ransomware #Storm-1175 #zero‑day exploits #cybercrime #ransomware #vulnerability exploitation #threat intelligence
원문 보기
Share:
Back to Blog

관련 글

더 보기 »