랜섬웨어 공격자들, 치명적인 윈도우 취약점 악용하기 시작해

Ransomware gang now using critical Windows flaw in attacks

 

마이크로소프트가 사이버 범죄자들이 공격 시 ZeroLogon 취약점의 익스플로잇 코드를 악용하기 시작했다고 경고했습니다.

회사는 9월 하반기 사이버 스파이 그룹인 MuddyWater(SeedWorm)에서 실행한 공격을 발견 후 공지했습니다.

 

이번 공격의 배후에 있는 공격자는 2014년 Dridex 뱅킹 트로이목마를 배포를 시작으로 활동을 시작한 TA505입니다. 이 그룹은 피해자를 딱히 가리지 않는 것으로 알려져 있습니다.

 

지난 몇 년 동안 공격자는 백도어부터 랜섬웨어까지 다양한 악성코드를 배포하는 공격을 실행해왔습니다.

 

최근에는 Clop 랜섬웨어를 배포한 것으로 나타났습니다. 이들은 작년 네덜란드의 마스트리히트 대학에 Clop 랜섬웨어 공격을 실행하여 30비트코인(약 $220,000) 상당의 랜섬머니를 받아냈습니다.

 

정식 툴과 가짜 업데이트

 

마이크로소프트는 Chimborazo로 추적되는 TA505가 공격자의 C2 인프라에 연결하는 가짜 소프트웨어 업데이트를 사용한 공격 캠페인을 실행했다고 밝혔습니다.

 

악성 업데이트의 목적은 타깃 시스템에서 해커의 권한을 상승시키고 악성 스크립트를 실행하는 것입니다.

 

 

<이미지 출처: https://twitter.com/MsftSecIntel/status/1313598440719355904>

 

 

TA505는 VBScript, Python, Ruby, PHP, JavaScript, Perl을 포함한 다양한 프로그래밍 언어로 스크립트를 실행하는 윈도우 스크립트 호스트(WScript.Exe)를 사용합니다.

 

마이크로소프트는 공격자들이 애플리케이션 빌드를 위해 마이크로소프트 빌드 엔진(MSBuild.Exe)을 사용해 사후 악용 툴인 Mimikatz의 한 버전을 컴파일했다고 밝혔습니다.

 

이 방법으로 얻어낸 Mimikatz 버전에는 ZeroLogon 취약점(CVE-2020-1472)의 익스플로잇 코드가 포함되어 있습니다. 지난 한 달 동안 많은 연구원들이 이 취약점에 대한 PoC 익스플로잇을 발표했습니다.

 

마이크로소프트는 클래식 도메인 탈취 공격에 대해 설명하며 ZeroLogon이 가장 적합하다고 밝혔습니다. 도메인 컨트롤러에 직접 접근할 수 있게 되기 때문에 공격자는 관리자 자격 증명을 얻는데 시간을 낭비할 필요가 없습니다.

 

TA505가 고액 랜섬웨어 사업에 참여하고 있기 때문에 이러한 공격이 빈번히 발생할 확률이 매우 높습니다. 따라서 조직에서는 이 취약점에 대한 보안 패치를 적용하는 것을 우선 순위로 두어야 합니다.

 

ZeroLogon 관련 세부 정보

 

Secura의 Tom Tervoort가 발견한 ZeroLogon은 도메인 네트워크 내 침입자가 인증 없이도 권한을 관리자 수준으로 상승시킬 수 있도록 허용합니다.

 

Tervoort는 암호화되지 않은 상태(비보안 RPC 통신)에서 Netlogon 원격 프로토콜을 통해 도메인 컨트롤러에 강제로 연결할 수 있다는 것을 발견했습니다.

 

그 다음 Netlogon 암호화 알고리즘의 취약점을 악용하여 도메인 관리자 로그인을 스푸핑하는 것이 가능합니다. Secura에서 관련 기술 문서를 확인하실 수 있습니다.

 

마이크로소프트는 비보안 RPC를 통한 윈도우 활성 도메인 컨트롤러 통신을 막음으로써 이 취약점을 부분적으로 해결했습니다. 이 업데이트는 8월 11일 공개되었습니다.

 

2월 9일 진행될 새로운 업데이트는 네트워크상의 모든 기기에 동일한 보안 통신을 적용하게 될 것입니다.

 

ZeroLogon 관련 경고 발행돼

 

네트워크 관리자들은 ZeroLogon 취약점의 심각도(치명도 점수 10/10)에 대한 경고를 반복적으로 받았으며, 패치를 적용할 것을 권고받았습니다.

 

9월 중순 도메인 관리자 권한을 획득할 수 있는 익스플로잇 코드가 공개된 후 공격자들은 이를 공격에 빠르게 적용했습니다.

 

9월 18일, 미국 CISA는 연방 민간 행정부에 이 취약점 수정을 ‘긴급’하게 처리할 것을 요구했습니다.

 

마이크로소프트는 지난 9월 23일 실제 공격에 ZeroLogon이 활발히 악용되는 것을 목격한 후 처음으로 경고를 발행했습니다. 이후 MuddyWater가 익스플로잇을 악용한다는 경고가 있었습니다.

 

이제 사이버 범죄자들은 ZeroLogon 취약점을 더욱 광범위하게 악용하여 공공 및 민간 부문 조직을 모두 노리고 있는 것으로 추측됩니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/ransomware-gang-now-using-critical-windows-flaw-in-attacks/