2023년 초 최초 식별돼 현재까지 481곳의 피해 기업을 낳은 랜섬웨어 그룹 '메두사'가 최근 한 달간 랜섬웨어 공격에 최대 심각도의 GoAnywhere MFT 취약점을 적극적으로 악용하는 것으로 나타났다.
7일 보안 외신 블리핑컴퓨터(bleepingcomputer)에 따르면 전날 마이크로소프트(MS)는 지난달 11일부터 Storm-1175로 추적하는 알려진 메두사 랜섬웨어 계열사가 GoAnywhere MFT 취약점을 공격에 악용하고 있다고 보고서를 통해 밝혔다.
MS 디펜더 연구원들은 "초기 접근을 위해 Storm-1175에 기인한 전술, 기술 및 절차(TTP)와 연계된 여러 조직의 익스플로잇(취약점 공격) 활동을 확인했다"면서 "초기 액세스를 위해 위협 행위자는 GoAnywhere MFT에서 당시 제로데이 디시리얼라이제이션(직렬화된 데이터를 다시 객체로 복원하는 과정) 취약점을 악용했다. 지속성을 유지하기 위해 원격 모니터링 및 관리(RMM) 도구를 남용했다"고 밝혔다.
관련기사
- 올해 3분기 랜섬웨어 공격 5336건…2023년 넘었다2025.10.07
- SGI 공격 랜섬웨어, 피해자 목록서 SGI 제외 왜?2025.09.08
- 랜섬웨어 아키라, 소닉월 취약점 악용해 공격2025.09.14
- "랜섬웨어 피해 급증...전세계 5000건 넘어"2025.09.16
구체적으로 랜섬웨어 계열사는 RMM 바이너리를 출시하고 사용자 및 시스템 검색을 위한 명령을 실행했으며, 손상된 네트워크를 통해 MS 원격 데스크톱 연결 클라이언트(mtsc.exe)를 사용해 여러 시스템으로 측면 이동시키는 공격 방법을 활용했다. 이후 도난당한 파일을 유출하고, 피해자의 파일을 암호화하기 위해 메두사 랜섬웨어 페이로드를 배치한 것으로 조사됐다.
랜섬웨어 추적 사이트 랜섬웨어닷라이브에 따르면 메두사는 2023년 초 최초 식별돼 이날까지 전 세계 기업 및 기관을 대상으로 481건의 랜섬웨어 공격을 시도한 그룹으로 알려졌다. 지난 3월 미국 사이버보안 전담 기관 CISA는 FBI 및 다중 주 정보 공유 및 분석 센터(MS-ISAC)와 공동 자문을 발표하며, 메두사 랜섬웨어 운영이 미국 전역의 300개 이상의 주요 인프라 조직에 영향을 미쳤다고 경고하기도 했다.
