상세 컨텐츠

본문 제목

유럽 은행 당국, 익스체인지 서버 해킹 알려

국내외 보안동향

by 알약4 2021. 3. 9. 09:25

본문

 

 

European Banking Authority discloses Exchange server hack

 

유럽 은행 당국(EBA)이 전 세계의 조직을 노린 APT 공격으로 인해 마이크로소프트 익스체인지(Microsoft Exchange) 서버가 해킹된 후 모든 이메일 시스템을 중단했습니다.

 

EBA는 사고에 대해 아래와 같이 밝혔습니다.

 

“EBA는 ICT 업체, 포렌식 전문가 팀, 관련 기관과 긴밀히 협력해 전체적인 조사를 신속히 시작했습니다. EBA는 공격자가 데이터에 접근했을 가능성이 있는지, 접근했다면 어떤 데이터인지 식별하기 위해 노력 중입니다. 또한 이로 인해 발생할 수 있는 부작용을 최소화하기 위한 조치를 공개할 예정입니다.”

 

일요일 발표된 초기 권고에 따르면, 공격자가 이메일 서버에 저장된 개인정보에 접근했을 가능성이 있었습니다.

 

하지만 월요일 발표된 업데이트에서 포렌식 전문가들은 데이터 유출 흔적을 찾을 수 없었다고 덧붙였습니다.

 

“EBA 조사는 여전히 진행 중이며, 이메일 서버의 전체 기능을 복구하기 위해 추가 보안 조치 및 면밀한 모니터링을 시행하고 있습니다.”

 

현재 단계에서는 EBA의 이메일 인프라는 보호되었으며, 분석 결과에 따르면 데이터 유출 흔적이 없으며 이 사고의 범위가 이메일 서버를 넘어섰다고 추측할 수 있는 증거가 없습니다.”

 

전 세계 조직을 노리는 광범위한 공격

 

지난주, 마이크로소프트는 마이크로소프트 익스체인지 서버의 온-프레미스 버전에 영향을 미치는 제로데이 취약점 다수를 수정했습니다. 이 취약점은 정부 지원 해킹 그룹의 공격에 악용되었습니다.

 

마이크로소프트는 초기에 이 공격을 중국 정부가 후원하는 해킹 그룹인 Hafnium과 연결지었습니다마이크로소프트는 블로그 포스트를 업데이트해 다른 공격자들도 유사한 캠페인에서 최근 패치된 익스체인지 취약점을 악용했다고 밝혔습니다.

 

Hafnium의 타깃의 신원은 아직까지 밝혀지지 않았지만, 마이크로소프트는 해당 그룹이 이전에 노렸던 산업 분야의 목록을 공유했습니다.

 

마이크로소프트의 부사장인 Tom Burt는 아래와 같이 밝혔습니다.

 

“Hafnium은 주로 전염병 연구원, 법률 회사, 고등 교육 기관, 국방 계약자, 정책 싱크탱크 및 NGO를 포함한 여러 산업 부문의 미국 기업을 노리며 정보를 빼내려 시도합니다.”

 

ESET에 따르면, 중국의 지원을 받는 APT27, Bronze Butler (Tick), Calypso 또한 패치되지 않은 익스체인지 서버를 노리고 있는 것으로 나타났습니다. ESET은 신원을 정확히 확인할 수 없는 다른 국가 지원 그룹 또한 탐지되었다고 밝혔습니다.

 

CISA 또한 지난 토요일 마이크로소프트 익스체인지 서버의 취약점이 국내 및 국제적으로 광범위하게 악용되고 있다며 관리자들에게 마이크로소프트의 IoC 탐지 툴을 사용하여 조직 내 해킹 징후를 찾아낼 것을 권고했습니다.

 

공격자는 서버가 패치된 후에도 해킹된 서버 및 내부 네트워크에 원격으로 접속이 가능하도록 웹 셸을 배포합니다.

 

마이크로소프트는 이 공격을 통해 배포된 웹 셸을 탐지하기 위해 MSERT(Microsoft Safety Scanner) 툴을 업데이트했으며 익스체인지의 IoC OWA 로그 파일을 탐지하기 위한 PowerShell을 업데이트 했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/european-banking-authority-discloses-exchange-server-hack/

https://www.eba.europa.eu/cyber-attack-european-banking-authority

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://us-cert.cisa.gov/ncas/current-activity/2021/03/06/microsoft-ioc-detection-tool-exchange-server-vulnerabilities

저작자표시 비영리 변경금지

'국내외 보안동향' 카테고리의 다른 글

구글 플레이의 안드로이드 앱 9개, AlienBot과 MRAT 악성코드 배포해  (0) 2021.03.10
Sarbloh 랜섬웨어, 인도의 농부 시위 지지해  (0) 2021.03.09
Sodinokibi 랜섬웨어 그룹, 피해자의 사업 파트너에게 전화하는 전략 추가해  (0) 2021.03.08
디스코드 서버에 가입하는 피해자만 복호화하는 새로운 랜섬웨어 발견  (0) 2021.03.08
마이크로소프트, SolarWinds 해커가 사용하는 새로운 악성코드 변종 3개 발견  (0) 2021.03.05

관련글 더보기

댓글 영역

티스토리툴바