SimpleHelp RMM 취약점 악용 탐지: CISA, 지속적 접근 및 랜섬웨어 배포를 위한 미패치 결함 악용 경고
목차:
미국 사이버 보안 및 인프라 보안국(CISA)은 SimpleHelp의 원격 모니터링 및 관리(RMM) 소프트웨어의 패치되지 않은 취약점을 악용하는 랜섬웨어 행위자에 대한 경고를 발행했습니다. 이는 2025년 초부터 조직을 손상시키기 위해 점점 더 많이 사용되고 있는 전술입니다.
올해 이미 NIST에 21,000개 이상의 새로운 CVE가 기록된 가운데, 사이버 보안 팀은 점점 더 많은 압박을 받고 있습니다. 취약점 악용은 특히 랜섬웨어 그룹에 대한 주요 공격 벡터로 남아 있습니다. CISA가 강조한 최근 사건은 이러한 경향을 부각시킵니다: 공격자들은 SimpleHelp RMM의 결함(CVE-2024-57726, CVE-2024-57727, CVE-2024-57728)을 활용하여 DragonForce 랜섬웨어를 배포하고 민감한 데이터를 탈취했습니다. 이를 통해 이중 갈취 전술 을 사용하여 영향을 극대화했습니다.
랜섬웨어 배포를 위한 SimpleHelp RMM 취약점 악용 탐지
Sophos에 따르면, 평균 랜섬웨어 복구 비용은 2024년에 2.73백만 달러로 급등했으며, 이는 전년도 대비 500% 증가한 수치입니다. 랜섬웨어 행위자들이 소프트웨어 취약점을 자주 악용하고 있으며(2025년 말까지 49,000개를 초과할 것으로 예상됨), 이러한 급증은 사이버 공격의 재정적 영향을 강조하며, 적극적인 방어 전략의 긴급한 필요성을 나타냅니다. SimpleHelp RMM 결함을 활용하는 공격과 같은 위협을 능가하려면, 사이버 방어자들은 항상 최신의 신뢰할 수 있는 위협 정보와 실효성 있는 탐지 콘텐츠가 필요합니다.
SOC Prime 플랫폼에 등록하세요 SimpleHelp RMM 취약점을 악용하는 랜섬웨어 배포에 대처하기 위한 전용 시그마 규칙 모음에 접근하려면. 맞춤형 탐지 콘텐츠는 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완벽한 제품군을 지원합니다. 아래의 탐지 탐색 버튼을 클릭하여 관련 콘텐츠 스택을 즉시 분석하세요.
보안 전문가들은 또한 더 광범위한 “CVE” 태그로 검색하여 취약점 악용에 대한 더 넓은 탐지 규칙 모음을 탐색하거나 “랜섬웨어” 태그를 적용하여 전 세계 랜섬웨어 공격을 다루는 탐지 규칙 세트를 접근할 수 있습니다.
SOC Prime 플랫폼의 모든 규칙은 다양한 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한, 모든 규칙에는 위협 정보 참조, 공격 타임라인, 트리아지 권장 사항 등 상세한 메타데이터가 포함되어 있습니다. references, attack timelines, triage recommendations, and more.
그 외에도 보안 전문가들은 위협 조사를 간소화하기 위해 Uncoder AI – 위협 정보 기반 탐지 엔지니어링을 위한 개인 IDE 및 공동 파일럿을 사용할 수 있습니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 성능 최적화된 쿼리로 신속하게 IOC 스윕을 하고, ATT&CK 태그를 예측하고, AI 팁으로 쿼리 코드를 최적화하며, 여러 SIEM, EDR 및 데이터 레이크 언어로 번역합니다.
SimpleHelp 소프트웨어 악용: 공격의 배경
Sophos 는 최근 MSP를 포함한 표적 공격을 조사했으며, 적들이 공격 초기 단계에서 제공자의 SimpleHelp RMM 도구를 손상시켰습니다. 공격자들은 DragonForce 랜섬웨어를 여러 시스템에 추가 배포하고 민감한 데이터를 탈취하여 피해자에게 압박을 가하기 위한 이중 갈취 전술을 수행했습니다.
Sophos는 공격자들이 CVE-2024-57727과 여러 경로 탐색 결함, CVE-2024-57728인 임의 파일 업로드 취약점을 포함한 취약점 체인을 활용했다고 진술합니다. CVE-2024-57726, 특권 상승 결함도 포함되었습니다.
DragonForce는 복잡한 RaaS 작전으로, 2023년 중반에 등장했습니다. 연구원들에 따르면, 이 그룹은 2025년 3월 “카르텔”로 리브랜딩을 시작했으며, 분산형 어소시에이트 모델로 이동하여 보다 넓은 범위의 위협 행위자를 유치했습니다. 이 재위치로 그룹의 프로파일을 상당히 높였습니다. DragonForce는 최근 RansomHub과 관련된 기반을 장악했으며, 이제 Scattered Spider (UNC3944)를 포함한 고위 프로필 랜섬웨어 유지관리자들에 의해 사용되고 있는 것으로 알려졌습니다. 이전에 RansomHub와 관련된 이 그룹은 DragonForce 랜섬웨어 페이로드를 사용하여 영국과 미국의 주요 소매 체인에 대한 공격과 연결되었습니다.
Sophos는 MSP의 정품 RMM 인스턴스를 통해 배포된 의심스러운 SimpleHelp 설치 프로그램을 탐지한 후 이 캠페인을 발견했습니다. 공격자들은 목표 RMM을 통해 다양한 고객 환경에 대해 데이터를 수집했습니다. 한 MSP 클라이언트는 랜섬웨어 및 데이터 도난을 차단할 수 있었지만, 다른 클라이언트들은 랜섬웨어 배포와 데이터 탈취 모두에 영향을 받았습니다.
2025년 6월 12일, CISA는 자문을 발행했습니다 SimpleHelp RMM 소프트웨어의 패치되지 않은 취약점을 악용하여 유틸리티 빌링 제공자의 고객을 위협하는 랜섬웨어 행위자에 대응합니다. DragonForce 해커들은 서비스를 방해하고 이중 갈취 공격을 위해 패치되지 않은 SimpleHelp RMM 엔터티를 목표로 CVE-2024-57727을 무기화했을 가능성이 높습니다.
SimpleHelp 버전 5.5.7 및 그 이전 버전은 위에 언급된 CVE-2024-57727을 포함한 여러 보안 결함이 포함되어 있습니다. 특히 CISA는 2025년 2월 13일 CVE-2024-57727을 KEV 카탈로그에 추가했습니다.
CISA는 SimpleHelp RMM 소프트웨어를 무기화한 잠재적 랜섬웨어 공격에 대한 가능성 있는 위험이나 확인된 손상으로 인해 완화 조치를 신속히 적용할 것을 강력히 권장합니다. SimpleHelp가 공급업체 소프트웨어에 내장되어 있거나 서드파티 공급업체에 의해 사용되는 경우, 방어자들은 serverconfig.xml 파일에서 서버 버전을 식별할 것을 권장합니다. 2025년 1월 이후로 버전 5.5.7 또는 이전 버전이 사용된 경우, 공급업체는 SimpleHelp 서버를 격리하거나 종료하고 SimpleHelp의 보안 자문 에 따라 최신 버전으로 신속히 업데이트하고 하위 고객에게 알리며, 엔드포인트를 보호하고 위협 검색을 시작하도록 권장해야 합니다. 추가 완화 조치에는 최신 자산 인벤토리 유지, 오프라인으로 분리된 저장 장치에 대한 정기적인 시스템 백업 보장, RMM 소프트웨어와 관련된 위험의 지속적인 평가, 서드파티 공급업체가 구현한 보안 통제를 검증하는 것이 포함됩니다.
방어자들은 SimpleHelp RMM 인스턴스를 목표로 한 이 공격이 인프라 운영자와 최종 사용자 간의 중요한 연결 고리 역할을 하는 유틸리티 빌링 소프트웨어 제공업체를 집중적으로 겨냥하고 있어 특히 위험하다고 판단했습니다. 이러한 고가치 중간자를 대상으로 한 이중 갈취 전술의 사용은 캠페인의 고급성을 강조하며, 적극적이고 다층적인 사이버 보안 조치의 긴급한 필요성을 보여줍니다. AI, 자동화 및 실시간 위협 인텔로 지원되는 SOC Prime의 완제품군 에 의존함으로써 조직은 정교한 위협을 사전에 식별하고 공격을 초기 단계에서 방지할 수 있습니다.
