패치되지 않은 Microsoft Exchange 서버를 노리는 새로운 Epsilon Red 랜섬웨어 발견

 

 

New Epsilon Red ransomware hunts unpatched Microsoft Exchange servers

 

Microsoft Exchange 서버의 취약점을 이용하여 네트워크 내 컴퓨터를 암호화하는 새로운 랜섬웨어가 발견되었습니다. 이 랜섬웨어는 자신을 Epsilon Red라고 지칭합니다.

 

Epsilon Red 랜섬웨어 공격은 암호화 단계에 도달하기 전 스크립트 12개 이상을 사용하며, 상용 원격 데스크톱 유틸리티 또한 사용합니다.

 

취약한 Microsoft Exchange 서버 공격

 

사이버 보안 회사인 Sophos의 사고대응팀에서는 지난주 한 미국 회사에 대한 공격을 조사하던 중 새로운 Epsilon Red 랜섬웨어를 발견했습니다.

 

연구원들은 공격자가 온-프레미스 Microsoft Exchange 서버의 패치되지 않은 취약점을 악용하여 기업 네트워크를 침해했음을 발견했습니다.

 

Sophos의 수석 연구원인 Andrew Brandt는 보고서를 통해 공격자가 ProxyLogon 취약점 세트를 활용해 네트워크 내 컴퓨터에 도달했을 가능성이 있다고 밝혔습니다.

 

ProxyLogon 취약점은 매우 심각해 전 세계 조직이 이를 패치하기 위해 서둘렀으며, 취약한 온-프레미스 Microsoft Exchange 서버의 약 92%가 업데이트 된지 한 달도 채 지나지 않았습니다.

 

유니크한 툴셋

 

Epsilon Red는 Golang(Go) 언어로 작성되었으며, 파일 암호화 루틴을 준비하는 고유 파워셸 스크립트 세트를 사용합니다. 이는 각자 아래와 같은 특정 목적을 가지고 있습니다.

 

- 보안 툴, 데이터베이스, 백업 프로그램, 오피스 프로그램, 이메일 클라이언트의 프로세스 및 서비스 종료

- 볼륨 섀도 복사본 삭제

- 암호 해시가 포함된 보안 계정 관리자 (SAM) 파일 탈취

- 윈도우 이벤트 로그 삭제

- Windows Defender 비활성화

- 프로세스 중단

- 보안 툴 언인스톨 (Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)

- 시스템에 대한 권한 확장

 

스크립트 대부분은 1~12까지 번호가 매겨져 있지만, 단일 문자로 명명된 스크립트도 몇 개 있습니다. 이 중 하나인 c.ps1는 침투 테스팅 툴인 Copy-VSS의 복사본인 것으로 보입니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/05/28/epsilonred/>

 

 

해커는 네트워크를 침해 후 RDP를 통해 컴퓨터에 도달하고, WMI(Windows Management Instrumentation)를 통해 소프트웨어를 설치 후 결국 Epsilon Red 실행파일을 배포하는 파워셸 스크립트를 실행합니다.

 

또한 연구원들은 공격자가 원격 데스크톱 작업을 위한 상용 소프트웨어인 Remote Utilities와 Tor 브라우저를 설치한다는 사실을 발견했습니다.

 

이는 초기 진입점을 통해 접근할 수 없는 경우에도 여전히 입구가 열려있는지 확인하기 위한 것으로 보입니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/05/28/epsilonred/>

 

  

Sodinokibi 랜섬웨어 모델

 

이 악성코드는 파일과 폴더를 암호화하는 것 이외에 다른 기능이 거의 없지만, 파일 시스템의 디렉토리를 탐색하는 오픈소스 툴인 godirwalk를 포함합니다.

 

이를 통해 하드 드라이브를 스캔하고 하위 폴더를 개별적으로 암호화하는 하위 프로세스의 대상 목록에 디렉토리 경로를 추가할 수 있습니다.

 

이는 타깃 폴더 내 필수 프로그램이나 운영 체제를 손상시킬 수 있는 DLL, 실행파일을 제외한 모든 파일을 암호화한 후 “.epsilonred” 확장자를 붙입니다.

 

또한 공격자에게 연락하는 방법 및 복호화 툴 관련 가격 협의 의사를 전달하기 위한 랜섬노트를 드롭합니다.

 

공격자는 Sodinokibi 랜섬웨어의 랜섬노트를 약간 수정한 버전을 사용했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-epsilon-red-ransomware-hunts-unpatched-microsoft-exchange-servers/>

 

 

이 새로운 랜섬웨어는 이미 여러 회사를 공격했으며, 사이버 보안 회사 다수에서 이 사고를 조사하고 있습니다.

 

해커들도 이미 돈을 벌어들이고 있는 것으로 나타났습니다. Sophos는 한 피해자가 지난 5월 15일 공격자에게 4.25 비트코인(약 21만 달러)을 지불했음을 발견했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-epsilon-red-ransomware-hunts-unpatched-microsoft-exchange-servers/

https://news.sophos.com/en-us/2021/05/28/epsilonred/