새로운 Atom Silo 랜섬웨어, 취약한 Confluence 서버 노려

 

 

New Atom Silo ransomware targets vulnerable Confluence servers

 

새롭게 발견된 랜섬웨어 그룹인 Atom Silo가 랜섬웨어 페이로드를 배포하기 위해 최근 패치된 Confluence 서버 및 Data Center 취약점을 악용하고 있는 것으로 나타났습니다.

 

Atlassian Confluence는 매우 인기있는 웹 기반 기업 팀 워크스페이스로 직원들이 다양한 프로젝트에서 협업할 수 있도록 도와줍니다.

 

8월 25일 Atlassian은 CVE-2021-26084로 등록된 Confluence 원격 코드 실행(RCE) 취약점을 패치하기 위한 보안 업데이트를 발표했습니다.

 

취약점 악용에 성공할 경우 인증되지 않은 공격자가 패치되지 않은 서버에서 원격으로 명령을 실행할 수 있게 됩니다.

 

 

랜섬웨어 그룹, Confluence 서버 노리기 시작해

 

이는 Sophos Labs 연구원들이 최근 사건을 조사하던 중 발견되었습니다. 또한 연구원들은 이 새로운 그룹이 사용하는 랜섬웨어가 LockFile과 거의 동일하다는 것을 발견했습니다. 또한 LockFile 랜섬웨어는 LockBit 랜섬웨어 그룹이 사용하는 랜섬웨어와 매우 유사합니다.

 

하지만 Atom Silo 운영자는 "엔드포인트 소프트웨어를 방해하도록 구성된 악성 DLL 사이드 로딩을 ​​포함하여 조사를 극도로 어렵게 만들기 위한 새로운 기술 몇 가지"를 사용합니다.

 

공격자는 Confluence 서버를 손상시키고 백도어를 설치한 후 DLL 사이드 로딩을 ​통해 더욱 은밀한 2단계 백도어를 드롭해 해킹된 시스템에서 실행합니다.

 

Atom Silo가 배포한 랜섬웨어 페이로드에는 엔드포인트 보호 솔루션을 방해하고 탐지를 회피하는 데 사용되는 악성 커널 드라이버도 함께 포함되어 있었습니다.

 

Sophos의 선임 위협 연구원인 Sean Gallagher는 "이를 통해 랜섬웨어 환경이 얼마나 빨리 진화할 수 있는지 알 수 있었습니다. 극도로 은밀한 공격자는 몇 주 전까지만 해도 알려지지 않았습니다."라 밝혔습니다.

 

"Atom Silo는 최근 발견된 또 다른 랜섬웨어 그룹인 LockFile과 유사하지만 탐지를 피하기 위해 그들 고유의 새롭고 정교한 전술, 기술, 절차를 사용했습니다. Atom Silo는 랜섬웨어를 출시하기 전 탐지를 피하기 위해 상당한 노력을 기울였습니다. 이를 위해 오래된 기술을 새로운 방식으로 사용하기도 했습니다. 백도어 자체를 제외하고 공격자는 기본 윈도우 툴과 리소스만 사용하여 랜섬웨어를 배포하기 전까지 네트워크 내에서 이동했습니다.”

 

Atom Silo와 관련한 자세한 정보는 SophosLabs의 보고서에서 확인할 수 있습니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/10/04/atom-silo-ransomware-actors-use-confluence-exploit-dll-side-load-for-stealthy-attack/>

<Atom Silo 랜섬노트>

 

 

활발히 악용되는 Confluence 취약점

 

Atlassian의 패치가 발행된 지 6일 후에 PoC 익스플로잇이 공개되고, 여러 공격자가 최근 공개된 CVE-2021-26084 Confluence RCE 취약점을 탐색해 크립토마이너를 설치하기 시작했습니다.

 

Bleeping Computer는 공격자가 윈도우 및 리눅스 Confluence 서버에 크립토마이너를 설치하고 있음을 확인했습니다.

 

미국 사이버 사령부(USCYBERCOM)는 9월 초에 경보를 발행해 미국 조직에 치명적인 Atlassian Confluence 취약점이 이미 대규모로 악용되고 있으므로 즉시 패치할 것을 촉구했습니다.

 

또한 모든 취약한 Confluence 서버를 가능한 한 빨리 패치하는 것에 대한 중요성을 강조했습니다.

 

 

<이미지 출처 : https://twitter.com/US_CYBERCOM/status/1433810876847493134>

 

 

CISA 또한 관리자에게 최근 Atlassian에서 발표한 Confluence 보안 업데이트를 즉시 적용할 것을 경고했습니다.

 

이러한 공격자들은 크립토마이너만 설치했지만, 해킹된 온프레미스 Confluence 서버에서 기업 네트워크를 통해 측면으로 이동하기 시작할 경우 랜섬웨어 페이로드 및 데이터 유출로 빠르게 확대될 수 있기 때문에 주의가 필요합니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.47095009’으로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-atom-silo-ransomware-targets-vulnerable-confluence-servers/

https://news.sophos.com/en-us/2021/10/04/atom-silo-ransomware-actors-use-confluence-exploit-dll-side-load-for-stealthy-attack/