상세 컨텐츠

본문 제목

Conti 랜섬웨어, Log4j 취약점 악용하여 VMware vCenter 서버 해킹해

국내외 보안동향

by 알약4 2021. 12. 20. 09:00

본문

Conti ransomware uses Log4j bug to hack VMware vCenter servers

 

 

Conti 랜섬웨어가 치명적인 Log4Shell 익스플로잇을 악용해 내부 VMware vCenter Server 인스턴스에 빠르게 접근하여 가상 머신을 암호화하는 것으로 나타났습니다.

 

이 그룹은 새로운 공격 벡터를 채택하는 데 오랜 시간을 고민하지 않았습니다. 이들은 Log4j 취약점을 무기화한 것으로 알려진 최초의 "탑 티어" 악성코드입니다.

 

공격의 표적이 된 취약한 vCenter

 

CVE-2021-44228(Log4Shell)에 대한 PoC 익스플로잇이 지난 129일 공개되었습니다.

 

하루 후 여러 공격자는 취약한 시스템을 찾기 위해 대규모로 인터넷을 탐색하기 시작했습니다. 이 취약점을 가장 먼저 악용한 것은 암호화폐 채굴기, 봇넷, Khonsari라는 새로운 랜섬웨어 변종이었습니다.

 

지난 12 15, Log4Shell을 사용하는 공격자는 랜섬웨어 그룹에 네트워크 액세스를 판매하는 국가 지원 해커 및 초기 액세스 브로커로 확장되었습니다.

 

현재 수십 명의 회원을 보유한 가장 크고 활발히 활동하는 랜섬웨어 그룹 중 하나인 Conti 12 12일부터 Log4Shell에 관심을 가지기 시작한 것으로 보입니다.

 

이들은 다음 날 새로운 피해자를 찾기 시작했습니다. AdvIntel은 이들의 목표가 VMware vCenter를 측면이동하는 것이라 밝혔습니다.

 

수십 개의 공급업체가 Log4Shell의 영향을 받았고, 서둘러 제품을 패치하거나 고객에게 해결 방법과 완화법을 제공했습니다. VMware는 이들 중 하나로 취약한 제품이 40개나 되었습니다.

 

영향을 받는 vCenter 버전에 대한 패치는 아직 공개되지 않았습니다.

 

vCenter 서버는 일반적으로 공용 인터넷에 노출되지 않지만, 공격자는 취약점을 악용 가능합니다.

 

"영향을 받는 VMware 제품에 대한 네트워크 액세스 권한이 있는 공격자는 이 문제를 악용하여 대상 시스템을 완전히 제어하거나 서비스 거부 공격을 수행할 수 있습니다." - VMware

 

AdvIntel Conti 랜섬웨어 그룹이 공개 익스플로잇을 사용하는 작업에 Log4Shell을 활용하도록 관심을 보였다고 밝혔습니다.

 

측면 이동을 위한 Log4Shell 악용

 

회사는 "이 취약점이 주요 랜섬웨어 그룹에 악용된 것은 이번이 처음"이라고 밝혔습니다.

 

대부분의 방어자들은 인터넷에 노출된 장치에서 Log4Shell 공격을 차단하는 데 집중하고 있지만, Conti 랜섬웨어는 그다지 주의를 받지 못하는 내부 장치를 어떻게 노릴 수 있는지 보여줍니다.

 

 

<이미지 출처: https://www.advintel.io/post/ransomware-advisory-log4shell-exploitation-for-initial-access-lateral-movement>

 

 

연구원들은 Conti 랜섬웨어의 파트너가 이미 타깃 네트워크를 손상시키고 취약한 Log4j 시스템을 악용하여 vCenter 서버에 접근했음을 확인했습니다.

 

이는 Conti 랜섬웨어의 멤버가 네트워크를 해킹하기 위해 다른 초기 액세스 벡터(RDP, VPN, 이메일 피싱)를 사용했으며, 현재 Log4Shell을 사용하여 네트워크에서 측면으로 이동하고 있음을 의미합니다.

 

Conti는 러시아어를 사용하는 그룹으로 악명 높은 Ryuk 랜섬웨어의 후계자로 오랫동안 랜섬웨어 게임에 참여해 왔습니다.

 

이 그룹은 수백 건의 공격을 수행했으며, 데이터 유출 사이트에는 랜섬머니를 지불하지 않은 피해 회사 600개가 게시되어 있습니다. 또한 데이터 복호화를 위해 공격자에게 비용을 지불한 다른 업체들도 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/conti-ransomware-uses-log4j-bug-to-hack-vmware-vcenter-servers/

https://www.advintel.io/post/ransomware-advisory-log4shell-exploitation-for-initial-access-lateral-movement

관련글 더보기

댓글 영역